Chrome 開(kāi)了一個(gè)危險(xiǎn)的頭：偷偷給數(shù)億電腦塞 4GB Gemini 模型，占硬盤、耗算力、刪了自動(dòng)重下

編譯 | Tina

Chrome 正在把你的電腦變成它的 AI 算力節(jié)點(diǎn)，沒(méi)問(wèn)過(guò)你，沒(méi)通知你，而且刪了還會(huì)自動(dòng)重下。

安全研究員 Alexander Hanff（網(wǎng)名 ThatPrivacyGuy）報(bào)告稱，Chrome 一直在靜默安裝本地 Gemini Nano 大模型。它會(huì)以一個(gè)名為 weights.bin 的文件形式，存放在用戶 Chrome 配置目錄下的 OptGuideOnDeviceModel 文件夾中。

只要 Chrome 判斷你的設(shè)備滿足硬件要求，這個(gè) 4GB 的下載就會(huì)自動(dòng)發(fā)生。整個(gè)過(guò)程既不會(huì)請(qǐng)求授權(quán)，也不會(huì)發(fā)送任何通知。此外，如果你找到并刪除該文件，Chrome 會(huì)自動(dòng)下載一份新的副本并恢復(fù)它。

事件引發(fā)爭(zhēng)議后，谷歌昨天發(fā)表聲明稱，自 2024 年起他們就開(kāi)始為 Chrome 提供 Gemini Nano 這一輕量級(jí)“本地模型”，并表示已逐步推出關(guān)閉選項(xiàng)。但聲明回避了透明度和用戶同意的核心問(wèn)題——從頭到尾，沒(méi)人問(wèn)過(guò)你同不同意。

1 14 分 28 秒：Chrome 如何把 Gemini Nano 寫進(jìn)用戶磁盤

就在不久前，也就是 2026 年 5 月初，Alexander Hanff 公開(kāi)了自己的發(fā)現(xiàn)。而在此之前兩周，他剛剛揭露過(guò) Anthropic 的一項(xiàng)類似操作：Claude Desktop 會(huì)在用戶電腦上，悄悄向七個(gè)基于 Chromium 的瀏覽器注冊(cè)一個(gè)“橋接程序”。換句話說(shuō)，用戶啟動(dòng)產(chǎn)品 A 時(shí)，Anthropic 會(huì)安裝這個(gè)橋接程序，并在未經(jīng)用戶許可的情況下，把配置信息寫入用戶安裝的產(chǎn)品 B、C、D、E、F、G、H 中（如 Brave、Edge、Arc、Vivaldi、Opera 等）。

并且這涉及到對(duì)大約 300 萬(wàn)臺(tái) Claude Desktop 用戶設(shè)備進(jìn)行了瀏覽器自動(dòng)化預(yù)授權(quán)，當(dāng)時(shí)，Hanff 寫道：“這種做法突破了廠商的信任邊界。沒(méi)有征求用戶同意的對(duì)話框，也沒(méi)有退出選項(xiàng)。”

他沒(méi)想到的是，僅僅兩周后，他又在 Google Chrome 上發(fā)現(xiàn)了幾乎相同的模式。

在任何安裝了 Chrome 瀏覽器的設(shè)備上，用戶配置文件中都有一個(gè)名為 OptGuideOnDeviceModel 的目錄。該目錄下有一個(gè)名為 weights.bin 的文件。該文件大小約為 4 GB，是 Gemini Nano 權(quán)重文件，可用于運(yùn)行設(shè)備端推理，也是 Google Prompt API 背后的基礎(chǔ)組件之一。

關(guān)鍵是，Google 壓根沒(méi)問(wèn)你。在 Chrome 設(shè)置里，并沒(méi)有一個(gè)清楚的選項(xiàng)寫著：“是否允許 Chrome 下載一個(gè)約 4GB 的本地 AI 模型？”也沒(méi)有彈窗提示用戶：接下來(lái)瀏覽器會(huì)占用你的磁盤空間，下載一個(gè)用于 AI 功能的模型文件。下載會(huì)在 Chrome 的 AI 功能啟用時(shí)觸發(fā)，而這些功能在最新版本的 Chrome 中默認(rèn)啟用。在任何滿足硬件要求的設(shè)備上，Chrome 都會(huì)將用戶的硬件視為交付目標(biāo)并寫入模型。

更麻煩的是，刪除并不能解決問(wèn)題。

已經(jīng)有多個(gè) Windows 用戶報(bào)告了同樣的循環(huán)：用戶手動(dòng)刪除，過(guò)一段時(shí)間，Chrome 又把它下載回來(lái)；用戶再次刪除，Chrome 再次恢復(fù)。這個(gè)過(guò)程反復(fù)發(fā)生，唯一的辦法是去 chrome://flags 里關(guān)閉相關(guān) AI 功能，或者徹底卸載 Chrome。

在 macOS 上，情況略有不同：該文件權(quán)限為 600，歸用戶所有（因此理論上可以刪除）。但 Chrome 會(huì)在寫入文件后，將安裝狀態(tài)保存在 Local State 中，一旦 Chrome 的灰度配置服務(wù)器再次判斷該配置文件符合條件，下載就會(huì)再次觸發(fā)。也就是說(shuō)，權(quán)限機(jī)制不同，但整體邏輯一樣：用戶刪掉的，只是文件本身；Chrome 仍然認(rèn)為它應(yīng)該存在。

Hanff 還在一臺(tái)全新的 macOS 設(shè)備上進(jìn)行了獨(dú)立驗(yàn)證。他利用 macOS 內(nèi)核維護(hù)的 .fseventsd 文件系統(tǒng)事件日志，追蹤了整個(gè)安裝過(guò)程。這個(gè)日志不受 Chrome 或 Google 控制，會(huì)記錄操作系統(tǒng)層面的文件創(chuàng)建、修改和刪除事件。

日志顯示，2026 年 4 月 24 日 16:38:54，Chrome 在審計(jì)配置文件中創(chuàng)建了 OptGuideOnDeviceModel 目錄；16:47:22，Chrome 啟動(dòng)多個(gè)解包進(jìn)程，其中一個(gè)開(kāi)始寫入 weights.bin、模型配置和校驗(yàn)文件；到 16:53:22，解包完成，weights.bin 及相關(guān)配置被移動(dòng)到最終位置。

從目錄創(chuàng)建到模型落位，整個(gè)過(guò)程只用了 14 分 28 秒。而且在這段時(shí)間里，這個(gè) Chrome 配置文件沒(méi)有任何真實(shí)用戶輸入，也從未打開(kāi)過(guò)任何 AI 相關(guān)界面。前臺(tái)瀏覽器可能只是按審計(jì)流程加載網(wǎng)頁(yè)、等待倒計(jì)時(shí)結(jié)束，后臺(tái)卻已經(jīng)完成了一個(gè)約 4GB 本地 AI 模型的下載、解包和安裝。整個(gè)過(guò)程沒(méi)有彈窗，沒(méi)有通知，也沒(méi)有任何“是否允許”的對(duì)話框。

2 Google 的潛臺(tái)詞：我先下載，你不同意再自己去關(guān)

對(duì)于這場(chǎng)爭(zhēng)議，Google 的回應(yīng)透露出一個(gè)關(guān)鍵信息：Gemini Nano 進(jìn)入 Chrome 并不是最近才發(fā)生的事。按照官方的說(shuō)法：

“自 2024 年以來(lái)，我們一直為 Chrome 瀏覽器提供 Gemini Nano，它是一款輕量級(jí)的本地安全模型。它支持重要的安全功能，例如欺詐檢測(cè)和開(kāi)發(fā)者 API，而無(wú)需將您的數(shù)據(jù)發(fā)送到云端。雖然它需要占用一些本地桌面空間才能運(yùn)行，但如果設(shè)備資源不足，該模型會(huì)自動(dòng)卸載。今年 2 月，我們開(kāi)始逐步推出一項(xiàng)功能，允許用戶直接在 Chrome 設(shè)置中輕松關(guān)閉和移除該模型。禁用后，該模型將不再下載或更新。”

換句話說(shuō)，這項(xiàng)“靜默部署”已經(jīng)持續(xù)了一年多，只是最近才被大規(guī)模曝光。而在社區(qū)里，關(guān)于這個(gè)模型的討論其實(shí)更早就有跡可循：2025 年 4 月，Reddit 上有人發(fā)現(xiàn)這個(gè)緩存模型占了他 3GB 空間；到了同年 11 月，Stack Overflow 上的提問(wèn)顯示它已經(jīng)漲到了 4GB。

據(jù)分析，Chrome 會(huì)下載兩個(gè)版本的 Gemini Nano：一個(gè)是適用于 GPU 的版本，體積約 4GB，根據(jù) GPU 性能的不同，可選擇“最高質(zhì)量”（HIGHEST_QUALITY）或“最快推理”（FASTEST_INFERENCE）兩種運(yùn)行模式；另一個(gè)是適用于沒(méi)有 GPU 的設(shè)備的 CPU 版本，體積約 2.7GB。

Google 管這個(gè)模型叫“Nano”——納米級(jí)，聽(tīng)起來(lái)很小巧。但對(duì)于用戶存儲(chǔ)空間本就有限的設(shè)備來(lái)說(shuō)，一個(gè) 4GB 的“納米”模型多少有些諷刺。

谷歌的聲明也并未真正回應(yīng)外界對(duì)透明度和用戶同意的廣泛批評(píng)。其立場(chǎng)很明確：下載是故意的，與 Chrome 的 AI 功能有關(guān)。如果用戶不希望本地存儲(chǔ)這個(gè)模型，現(xiàn)在可以選擇手動(dòng)退出。

更值得關(guān)注的是它的覆蓋范圍：Chrome 全球用戶大約在 34.5 億到 38.3 億之間，市場(chǎng)占有率長(zhǎng)期維持在 64% 以上。即便只有部分設(shè)備滿足硬件要求，被影響的依然是數(shù)億臺(tái)桌面設(shè)備。這意味著，Google 正在進(jìn)行的，已經(jīng)不是一次普通功能更新，而是一場(chǎng)全球規(guī)模的“本地 AI 預(yù)部署實(shí)驗(yàn)”。

令人費(fèi)解的事情之一是 Chrome 地址欄上那個(gè)顯眼的“AI 模式”按鈕，實(shí)際上依賴的是云端處理，而不是本地的 Gemini Nano 模型。這就讓人不得不問(wèn)：既然那個(gè)最常用的 AI 功能根本用不到本地模型，那 Chrome 為什么非要提前把這 4GB 塞進(jìn)你的硬盤？

有開(kāi)發(fā)者給出了一個(gè)合理猜測(cè)：這本質(zhì)上是一個(gè)概念驗(yàn)證方案——它既能把計(jì)算成本轉(zhuǎn)移到用戶設(shè)備上，同時(shí)還能繼續(xù)收集查詢?cè)獢?shù)據(jù)。

如果有足夠多的 Chrome 用戶安裝了它，Google 就可以開(kāi)始做分組實(shí)驗(yàn)，對(duì)比“云端完整版模型”和“設(shè)備端 Nano 模型”生成的結(jié)果差異。如果本地模型的輸出質(zhì)量足夠接近，或者用戶能夠接受，那么 Google 就可以逐步把這些查詢從自己的服務(wù)器卸載到用戶設(shè)備上，而且不會(huì)遭遇太大的阻力。

現(xiàn)在，無(wú)論是設(shè)備性能（尤其是手機(jī)），還是模型優(yōu)化技術(shù)，都已經(jīng)成熟到這樣一種程度：大多數(shù)普通用戶（非開(kāi)發(fā)者、非 IT 從業(yè)者）根本不會(huì)注意到，自己搜索“蘋果派怎么做”時(shí)看到的結(jié)果，到底來(lái)自本地模型，還是來(lái)自數(shù)據(jù)中心里的大型云端模型。

但這一切的代價(jià)，遠(yuǎn)不止占點(diǎn)硬盤空間。

Hanff 認(rèn)為，Chrome 正在向數(shù)億臺(tái)設(shè)備推送一個(gè) 4GB 的二進(jìn)制文件，這會(huì)帶來(lái)可衡量、可量化，而且相當(dāng)令人擔(dān)憂的環(huán)境影響。

按照他的測(cè)算，僅把這個(gè) 4GB 模型傳輸?shù)揭慌_(tái)設(shè)備，就會(huì)產(chǎn)生約 0.06 kg 二氧化碳當(dāng)量排放。如果覆蓋 5 億臺(tái)設(shè)備，總排放將達(dá)到 3 萬(wàn)噸 CO?e，相當(dāng)于 6500 輛汽車一整年的尾氣排放；如果覆蓋 10 億臺(tái)設(shè)備，這一數(shù)字將升至 6 萬(wàn)噸。而這還只是初始推送的成本。用戶刪除后重新下載、模型后續(xù)更新、本地推理運(yùn)行，都會(huì)繼續(xù)把這筆賬往上推。

但比氣候賬單更值得警惕的，是這件事背后的趨勢(shì)。Anthropic 和 Google 做了同一件事：先動(dòng)手，讓用戶自己去發(fā)現(xiàn)后果。用戶的設(shè)備被當(dāng)成了部署目標(biāo)，而不是由用戶主動(dòng)控制的東西。對(duì)平臺(tái)受益的功能默認(rèn)開(kāi)啟、藏在角落、難以移除——轉(zhuǎn)向設(shè)備端 AI，非但沒(méi)有改變這種暗黑模式，反而在加速它。

Chrome 這個(gè)“危險(xiǎn)的頭”已經(jīng)開(kāi)了。而且，這不是 Google 一家的事——Anthropic 試過(guò)了，Google 鋪開(kāi)了，微軟、蘋果會(huì)站在旁邊看嗎？“本地算力強(qiáng)征”是否會(huì)在從個(gè)別廠商的試探，變成整個(gè)行業(yè)的默認(rèn)選項(xiàng)？

也許唯一能讓這個(gè)趨勢(shì)停下來(lái)的，不是某家公司的“良心發(fā)現(xiàn)”，而是足夠多的用戶知道這件事、感到不舒服，并且開(kāi)始追問(wèn)一句：我的設(shè)備，到底誰(shuí)說(shuō)了算？

https://news.ycombinator.com/item?id=48019219

https://adsm.dev/posts/prompt-api/

聲明：本文為 InfoQ 整理，不代表平臺(tái)觀點(diǎn)，未經(jīng)許可禁止轉(zhuǎn)載。

會(huì)議推薦

世界模型的下一個(gè)突破在哪？Agent 從 Demo 到工程化還差什么？安全與可信這道坎怎么過(guò)？研發(fā)體系不重構(gòu)，還能撐多久？

AICon 上海站 2026，4 大核心專題等你來(lái)：世界模型與多模態(tài)智能突破、Agent 架構(gòu)與工程化實(shí)踐、Agent 安全與可信治理、企業(yè)級(jí)研發(fā)體系重構(gòu)。14 個(gè)專題全面開(kāi)放征稿。

誠(chéng)摯邀請(qǐng)你登臺(tái)分享實(shí)戰(zhàn)經(jīng)驗(yàn)。AICon 2026，期待與你同行。