谷歌Chrome浏览器未经同意悄悄下载4GB的Gemini Nano AI模型到用户电脑。本文揭露下载流程、苹果系统日志证据、重复下载机制、环境碳排放(高达6万吨),以及违反欧盟隐私法的法律分析。
你家浏览器背着你下载了4GB垃圾:谷歌Chrome的悄悄话大模型
作者背景
Alexander Hanff,隐私维权人士,WebSentinel取证审计平台创建者,专注终端设备未经同意写入行为的法律与技术交叉分析。
谷歌Chrome在你不知情时下载4GB大模型
你电脑里住进了一个4GB的陌生人。它叫weights.bin,藏在OptGuideOnDeviceModel文件夹里。它是谷歌的Gemini Nano大模型。你没有同意过。Chrome没问过你。你删掉它,Chrome会重新下载。这个行为覆盖上亿台设备。环境成本在六千吨到六万吨二氧化碳当量之间。法律上直接违反电子隐私指令和GDPR。这不是阴谋论。这是我在苹果电脑上用系统内核日志抓到的一手证据。
Chrome在你电脑里挖了个坑埋了4GB东西
那个文件夹名字叫OptGuideOnDeviceModel。它躺在你Chrome个人资料的目录里。里面的weights.bin文件正好4GB。这是谷歌塞给你的本地大模型。Chrome用这个模型来跑“帮我写”、本地诈骗检测这些AI功能。你没有在设置里看到过复选框写着“下载4GB AI模型”。因为根本没有这个选项。最近的Chrome版本里AI功能默认打开。只要你的硬件够格,Chrome就把你电脑当成送货地址,直接写文件。
Windows用户最早发现这个问题。他们发现磁盘空间莫名其妙少了4GB。有人手动删除weights.bin。Chrome在你下次启动浏览器的时候又把它下回来。你再删,它再下。你想让它彻底消失,唯一办法是通过chrome://flags关掉AI功能,或者干脆卸载Chrome。普通用户根本不知道这些操作。苹果电脑上情况一样。文件权限归你,可以删除。但Chrome在Local State文件里记着安装状态。只要谷歌的变种服务器说你符合条件,下载就又开始了。
我用新创建的苹果芯片用户档案亲手抓到整个过程
大部分报道来自Windows用户。谷歌会说那些是个别案例或者特殊配置。我换个平台抓现行。苹果macOS内核有个文件系统事件日志叫.fseventsd。它记录每个文件的创建、修改、删除。Chrome改不了它。谷歌远程摸不着它。删了文件页日志还在。
2026年4月23日我创建了一个全新的Chrome测试用户档案。用来跑自动化审计。审计驱动用的是Chrome DevTools Protocol。它加载网页,等五分钟,收集事件,然后关掉Chrome换下一个网站。这个档案从头到尾没被人类键盘鼠标碰过一次。每一个AI相关的界面都没有被点开过。4月29日我例行检查磁盘使用情况时发现。这个档案里躺着4GB的OptGuideOnDeviceModel权重文件。
我回头翻.fseventsd日志。问了它一个简单问题:这4GB东西到底是什么时候落地的。macOS给了我精确到字节的答案。分成三个连续的页文件。
4月24日欧洲中部时间下午四点三十八分五十四秒。Chrome在审计档案里创建了OptGuideOnDeviceModel文件夹。
同一天四点四十七分二十二秒。三个并发的解压子进程在临时目录里干活。第一个写了weights.bin,manifest.json,验证内容文件,和执行配置文件。第二个写了一个证书吊销列表更新。第三个写了浏览器预加载数据更新。Chrome把一个安全更新、一个预加载刷新、和一个4GB AI模型打包在同一个空闲窗口里。好像这三样东西价值一样。
同一天四点五十三分二十二秒。解压完的weights.bin被移到最终位置。路径是OptGuideOnDeviceModel斜杠2025.8.8.1141斜杠weights.bin。同时还有适配器缓存、编码器缓存、验证配置和执行配置一起过去。另外四个模型目标同时注册。它们是配套的小型文本安全和提示路由模型。这些东西之前在这个档案里完全不存在。
从建文件夹到最后搬完总耗时十四分钟二十八秒。这段时间里人类对着这个档案做了啥?啥都没做。审计驱动要么在等第三方主页的五分钟定时器,要么在切换网站。解压程序就在后台干活。前台网页完全不知道发生了啥。
那个临时文件夹的名字是最致命的证据
临时目录叫com.google.Chrome.chrome_chrome_Unpacker_BeginUnzipping点一串随机字符。这个前缀是Chrome自己的进程命名规则。不是谷歌更新器的。也不是谷歌软件更新服务的。写文件的就是Chrome本身。你信任它来加载网页。它自己决定伸手往你文件系统里塞4GB的机器学习二进制文件。前台网页在干完全不相干的事。
同一台机器上还有另外三样证据。
Chrome自己为这个审计档案存的Local State JSON文件里,有个优化指导本地设备块。里面写着模型验证结果。尝试次数一次。结果代码二。组件版本2025.8.8.1141。Chrome跑过这个模型。组件版本号和fseventsd记录到的路径版本号完全一致。两个独立目击者看到同一件东西。同一个块还报告性能等级六和显存容量三万六千八百六十四兆字节。Chrome在你看到任何AI界面之前,就读了你的GPU和统一内存总量来决定你有没有资格被推模型。
Chrome的ChromeFeatureState文件里,启用的功能块包括本地设备模型后台下载和显示本地设备AI设置。第一个标志触发静默下载。第二个标志让本地AI设置页面出现在chrome://settings里。两个被同一个发布标志控制。也就是说按Chrome自己的架构,下载在你看到设置界面之前就开始了。能让你发现这个功能的设置页面跟下载是同步启用的。这不是疏忽。这是设计。
谷歌更新器日志里记录着本地设备模型控制组件的下载。那是一个7兆的压缩控制文件。在2026年4月20日就下载好了。比测试档案创建时间早三天。这是上游控制面板。跟用户档案无关。由一个每小时触发一次的LaunchAgent自动启动。下载地址用的是明文HTTP。包里靠CRX-3签名验证完整性,不是靠传输加密。控制组件给了Chrome一个指向真实权重文件的清单。然后Chrome自己进程里的本地设备模型组件安装器直接从谷歌CDN抓那个几GB的权重文件。
现在我们有了四路证据。苹果内核文件系统事件。Chrome自己的档案状态。Chrome的运行功能标志。谷歌组件更新器日志。四路证据都说同一件事。一个4GB AI模型在星期二下午十四分钟二十八秒内出现在用户的磁盘上。没有经过同意。没有通知。这个档案被人类输入次数为零。
把它跟Anthropic那件事一个一个对比
两周前我写过Anthropic静默注册跨浏览器消息桥的事。同一个黑暗模式剧本。逐条对比。
第一条。跨信任边界强制捆绑。Anthropic装完自己的软件就往七个浏览器里写配置。谷歌装完Chrome就往外写4GB AI模型。那个二进制文件不是Chrome本身。它是一个独立训练的大模型。有独立用途。独立数据保护画像。独立同意足迹。
第二条。隐形默认。没有第一次启动时的弹窗。设置里没有复选框。模型被下载。用户几个月后磁盘满了才发现。
第三条。比安装难删除一百倍。加这个文件用了零次点击。删除需要先发现文件存在。再搞懂它是什么。再导航进隐藏的个人资料路径。删掉它。在Windows上还得先清掉只读属性。然后接受Chrome会在下一个符合条件的窗口重新下载。除非用户自己去翻chrome://flags或者企业策略关掉底层AI功能。所有这些步骤在普通用户会看的任何地方都没有文档。
第四条。为用户没要求的功能预铺能力。模型躺在磁盘上。这样用户哪天想用那些AI功能时能秒开。用户根本没有调用过那些功能。模型照样占着4GB。
第五条。用通用名字掩盖真实目的。OptGuideOnDeviceModel是内部术语。正常用户看着磁盘占用也看不懂。准确的名字应该叫GeminiNanoLLM斜杠权重点bin。谷歌选了混淆名字。
第六条。往用户没配置的资源里注册。没打开过Chrome AI功能的人照样收到模型。打开过一次然后决定不感兴趣的人也照样收到模型。文件存不存在跟用户实际用不用那个功能完全无关。
第七条。文档缺口。谷歌面向用户的产品文档里没有提到这4GB。好奇的管理员能找到说明。普通用户在看安装页面时看不到。
第八条。每次启动都会自动重装。删了文件Chrome又给你重建。用户的删除被当成临时状态要纠正。而不是当成明确的指令去尊重。
第九条。以后用户同意的弹窗不能往回洗。谷歌将来要是开始弹窗问你要不要下载4GB模型。那个弹窗不能把已经发生在几亿设备上的静默安装变合法。信任关系已经被破坏。字节已经传输。大气已经被写了。
第十条。代码签名通过正式发布渠道推送。这不是测试版行为。这是Chrome稳定版。
AI模式那个小药丸是整块蛋糕上的樱桃
这里让每个隐私律师都得放下咖啡。Chrome 147启动后。地址栏右边会渲染一个叫AI模式的小药丸。在2026年普通用户看到浏览器最显眼的位置出现AI模式图标。又知道自己磁盘上已经静默装了4GB本地大模型。会得出一个很自然推论。那个可见的AI模式用的就是本地模型。自己的查询留在设备上。本地模型驱动那个看起来本地的界面。
这个推论每个部分都是错的。地址栏里的AI模式是云端支持的搜索生成体验。用户输入的每个查询都通过网络送到谷歌服务器。由谷歌托管的模型处理。本地Nano模型根本不被AI模式的界面流程调用。它们是两条完全分开的代码路径。浏览器里最显眼的AI功能不用你被偷偷塞的那个本地模型。而真正用本地模型的功能全藏在文字输入框右键菜单和标签组右键菜单里。普通用户一辈子都发现不了那些菜单。
想想这个安排意味着什么。用户付了静默安装的存储成本。磁盘上4GB。加带宽。用户眼睛真正能看到且会去点的AI小药丸给不了任何本地好处。因为不管怎样它都走谷歌的服务器。本地模型因此成了一个强加到用户身上的沉没成本。在透明度最该发挥作用的最显眼表面没有给用户任何透明度好处。换句话说。如果本地安装给了用户一条明确信息说你在这个AI模式里的查询会留在你设备上。那么这个安装就还有一个可以辩护的隐私理由。存储更糟但数据流更好。实际情况不是这样。这个安装给了谷歌一个未来期权。模型可以被Chrome其他子系统调用而不用再跑服务器往返。代价是用户的磁盘和带宽。而标题栏的AI表面继续像以前一样把用户查询送去谷歌。本地模型是放在用户设备上的谷歌方资产。不是用户方资产。可以论证它就是障眼法来掩盖那个可见的AI模式其实并没有用本地模型。
单是这个安排本身就直接踩了欧洲数据保护委员会关于欺骗性设计模式的指导方针里至少三个家族。它提供误导信息。因为可见的AI模式标签制造了关于处理发生位置的错误印象。没有写云端支持也没有写查询发往谷歌。知道本地AI模型存在的普通用户看到磁盘上有个4GB模型会推断本地处理。它跳过选择。因为用户没有被给一个时刻去选择纯本地还是云端支持的AI表面。两个被同一个上游发布开关同时打开。没有按功能分别取得同意。它阻碍控制。因为关掉AI模式不会同时移除本地安装。移除本地安装也不会关掉AI模式。两个分开控制。要找到两个控制开关需要知道chrome://flags和chrome://settings/ai这两个地方。默认Chrome里哪一个都不明显。
环境账单:几万吨二氧化碳就为了推个没人要的文件
Anthropic那件事只推了350字节的JSON。加起来也没多少电。Chrome不一样。推4GB二进制到上亿设备。环境足迹可测量可量化而且吓人。
计算采用WebSentinel审计平台的环境分析逻辑。网络数据传输能量强度每GB零点零六千瓦时。出自2018年一篇关于在线广告环境影响的同行评审论文。论文给出的范围是零点零四到零点一。取中点零点零六。电网排放因子每千瓦时零点二五公斤二氧化碳当量。这是欧洲环境署和欧洲能源署给欧盟2024年报告的复合供应因子。全球不同地区从零点一到零点七不等。零点二五对于全球推送是个合理中点。
每台设备每推送一次的能量是4GB乘零点零六等于零点二四千瓦时。二氧化碳是零点二四乘零点二五等于零点零六公斤。这是一次下载。没有算用户试图删除失败触发的重下。没有算后续模型更新。没有算实际使用时的推断能耗。只是把文件送到设备一次的成本。
谷歌不发有多少设备收到推送。硬件门槛会砍掉最低端的用户群。但合格人群依然巨大。画三个参考档位。用户自己挑哪个最接近现实。
一亿设备。百分之三的Chrome用户。总推送数据四百拍字节。总能耗两千四百万千瓦时。总二氧化碳六千吨。大致相当于一千三百辆欧盟小客车一年的排放。
五亿设备。百分之十五的Chrome用户。总推送数据二艾字节。总能耗一亿两千万千瓦时。总二氧化碳三万吨。大致相当于六千五百辆车的年排放。或者一次往返伦敦悉尼的经济舱航班扛八千个乘客。
十亿设备。百分之三十的Chrome用户。总推送数据四艾字节。总能耗二亿四千万千瓦时。总二氧化碳六万吨。大致相当于一万三千辆车的年排放。
这些只是交付成本。没算每台设备磁盘上持续占着4GB的存储负担。固态硬盘每制造一GB闪存大约含零点一六公斤二氧化碳当量。十亿设备乘4GB就是六十四万吨二氧化碳当量的制造碳。一次性。但存储负担永远由用户设备承担。本来那空间可以放用户自己的数据。也没算本地推断能耗。每次推断很小。但乘以亿万次就不小了。也没算重下循环。每次成功触发又是一次零点零六公斤。也没算未来模型更新。Gemini Nano不是一次性工件。它会迭代。每次刷新重复这个计算。
对做ESG报告的人来说。当前模型的一次性推送就是谷歌Scope三第十一类的排放。用户侧交付一个没被请求的二进制。在谷歌分发的免费产品运行过程中产生。
带宽成本不只是碳。互联网服务提供商付钱。移动运营商付钱。用计量套餐的用户付钱。每个网络基础设施节点都得扛这个没人要的4GB负载。大约一半交付能耗在接入网和边缘。大约百分之三十在用户侧设备。剩下的在核心网。没有一块基础设施是免费的。Chrome每推一个字节就等于跟用户真正想要的字节抢位置。
对用流量上限移动套餐的用户来说。特别是那些手机就是唯一上网途径的地区。4GB的未请求下载差不多是一个月的数据配额。被Chrome替用户做主蒸发掉了。谷歌没有任何公开分析这对计量上网人群的福利影响。
谷歌本来该怎么做
问一下。第一次要下载模型时弹个窗。写清楚Chrome想下载4GB文件到你的设备来跑如下功能。允许或跳过以后再说。两个按钮。搞定。
改成拉不是推。让它变成用户第一次调用AI功能才触发的下游行为。让功能本身成为同意事件。不要提前预铺。
在设置里列清楚Chrome下载了哪些模型文件。大小。驱动什么功能。每个模型带一个停止下载按钮。让删除真正持久。不要再次重建。
在微软商店的描述里。在Chrome安装程序里。在下载页面上。清楚告诉用户Chrome会在支持的硬件上下载很大的模型文件。目前普通用户基本看不到这些信息。
尊重删除。如果用户删了权重点bin。不要重建。如果用户对自己磁盘上的东西有明确偏好。应用程序不该因为觉得自己更懂就擅自覆盖那个偏好。
按规模披露。在谷歌年度ESG报告里发布所有AI功能模型推送到用户设备的合计带宽和碳足迹。按区域拆分。把它当作Scope三第十一类排放来核算和报告。
回溯通知。已经未经同意收到模型的用户。在下次启动Chrome时应该被告知发生了什么。展示文件位置。给一个点击就能撤销加删除的操作。这是Anthropic也该做的回溯同意步骤。
收尾
这两件事。Anthropic的Claude桌面静默写配置。谷歌Chrome的Nano推送。共享同一个底层决策。大模型供应商里的工程团队决定把用户的机器当成部署平面。优化供应商的产品路线图。而不是当成个人设备。设备的主人拥有法律权力决定上面跑什么。
Anthropic那事把浏览器自动化的预授权放到了大约三百万台设备上。谷歌这事把4GB模型权重放到了数亿台设备上。按我的中档估计大约五亿。附带相应比例的电子隐私指令GDPR和环境风险。
两家公司公开宣称关心安全道德和责任AI。两家公司在这篇文章记录的静默安装行为里都破坏了那些姿态所依赖的基础同意。字节是AI字节不能豁免关于每个其他字节写入用户设备的法律。字节相对于用户磁盘来说很小不能豁免累计起来的碳足迹成为一个真实可测量持续的伤害。
如果谷歌的下一次Chrome更新静默移除未同意的安装并把行为换成明确的主动加入。那我们就知道这家公司还能看懂风向。如果它不这么做。那我们也就知道这家公司公开宣称的责任AI和可持续性立场到底值多少钱。
考虑到这越来越像是默认行为。必须问一个非常简单的问题。监管者和公诉机关到底什么时候才开始执行从2002年就存在的法律。或者全球科技公司就是可以免于刑事和民事追究。