Chrome 开了一个危险的头：偷偷给数亿电脑塞 4GB Gemini 模型，占硬盘、耗算力、删了自动重下

编译 | Tina

Chrome 正在把你的电脑变成它的 AI 算力节点，没问过你，没通知你，而且删了还会自动重下。

安全研究员 Alexander Hanff（网名 ThatPrivacyGuy）报告称，Chrome 一直在静默安装本地 Gemini Nano 大模型。它会以一个名为 weights.bin 的文件形式，存放在用户 Chrome 配置目录下的 OptGuideOnDeviceModel 文件夹中。

只要 Chrome 判断你的设备满足硬件要求，这个 4GB 的下载就会自动发生。整个过程既不会请求授权，也不会发送任何通知。此外，如果你找到并删除该文件，Chrome 会自动下载一份新的副本并恢复它。

事件引发争议后，谷歌昨天发表声明称，自 2024 年起他们就开始为 Chrome 提供 Gemini Nano 这一轻量级“本地模型”，并表示已逐步推出关闭选项。但声明回避了透明度和用户同意的核心问题——从头到尾，没人问过你同不同意。

1 14 分 28 秒：Chrome 如何把 Gemini Nano 写进用户磁盘

就在不久前，也就是 2026 年 5 月初，Alexander Hanff 公开了自己的发现。而在此之前两周，他刚刚揭露过 Anthropic 的一项类似操作：Claude Desktop 会在用户电脑上，悄悄向七个基于 Chromium 的浏览器注册一个“桥接程序”。换句话说，用户启动产品 A 时，Anthropic 会安装这个桥接程序，并在未经用户许可的情况下，把配置信息写入用户安装的产品 B、C、D、E、F、G、H 中（如 Brave、Edge、Arc、Vivaldi、Opera 等）。

并且这涉及到对大约 300 万台 Claude Desktop 用户设备进行了浏览器自动化预授权，当时，Hanff 写道：“这种做法突破了厂商的信任边界。没有征求用户同意的对话框，也没有退出选项。”

他没想到的是，仅仅两周后，他又在 Google Chrome 上发现了几乎相同的模式。

在任何安装了 Chrome 浏览器的设备上，用户配置文件中都有一个名为 OptGuideOnDeviceModel 的目录。该目录下有一个名为 weights.bin 的文件。该文件大小约为 4 GB，是 Gemini Nano 权重文件，可用于运行设备端推理，也是 Google Prompt API 背后的基础组件之一。

关键是，Google 压根没问你。在 Chrome 设置里，并没有一个清楚的选项写着：“是否允许 Chrome 下载一个约 4GB 的本地 AI 模型？”也没有弹窗提示用户：接下来浏览器会占用你的磁盘空间，下载一个用于 AI 功能的模型文件。下载会在 Chrome 的 AI 功能启用时触发，而这些功能在最新版本的 Chrome 中默认启用。在任何满足硬件要求的设备上，Chrome 都会将用户的硬件视为交付目标并写入模型。

更麻烦的是，删除并不能解决问题。

已经有多个 Windows 用户报告了同样的循环：用户手动删除，过一段时间，Chrome 又把它下载回来；用户再次删除，Chrome 再次恢复。这个过程反复发生，唯一的办法是去 chrome://flags 里关闭相关 AI 功能，或者彻底卸载 Chrome。

在 macOS 上，情况略有不同：该文件权限为 600，归用户所有（因此理论上可以删除）。但 Chrome 会在写入文件后，将安装状态保存在 Local State 中，一旦 Chrome 的灰度配置服务器再次判断该配置文件符合条件，下载就会再次触发。也就是说，权限机制不同，但整体逻辑一样：用户删掉的，只是文件本身；Chrome 仍然认为它应该存在。

Hanff 还在一台全新的 macOS 设备上进行了独立验证。他利用 macOS 内核维护的 .fseventsd 文件系统事件日志，追踪了整个安装过程。这个日志不受 Chrome 或 Google 控制，会记录操作系统层面的文件创建、修改和删除事件。

日志显示，2026 年 4 月 24 日 16:38:54，Chrome 在审计配置文件中创建了 OptGuideOnDeviceModel 目录；16:47:22，Chrome 启动多个解包进程，其中一个开始写入 weights.bin、模型配置和校验文件；到 16:53:22，解包完成，weights.bin 及相关配置被移动到最终位置。

从目录创建到模型落位，整个过程只用了 14 分 28 秒。而且在这段时间里，这个 Chrome 配置文件没有任何真实用户输入，也从未打开过任何 AI 相关界面。前台浏览器可能只是按审计流程加载网页、等待倒计时结束，后台却已经完成了一个约 4GB 本地 AI 模型的下载、解包和安装。整个过程没有弹窗，没有通知，也没有任何“是否允许”的对话框。

2 Google 的潜台词：我先下载，你不同意再自己去关

对于这场争议，Google 的回应透露出一个关键信息：Gemini Nano 进入 Chrome 并不是最近才发生的事。按照官方的说法：

“自 2024 年以来，我们一直为 Chrome 浏览器提供 Gemini Nano，它是一款轻量级的本地安全模型。它支持重要的安全功能，例如欺诈检测和开发者 API，而无需将您的数据发送到云端。虽然它需要占用一些本地桌面空间才能运行，但如果设备资源不足，该模型会自动卸载。今年 2 月，我们开始逐步推出一项功能，允许用户直接在 Chrome 设置中轻松关闭和移除该模型。禁用后，该模型将不再下载或更新。”

换句话说，这项“静默部署”已经持续了一年多，只是最近才被大规模曝光。而在社区里，关于这个模型的讨论其实更早就有迹可循：2025 年 4 月，Reddit 上有人发现这个缓存模型占了他 3GB 空间；到了同年 11 月，Stack Overflow 上的提问显示它已经涨到了 4GB。

据分析，Chrome 会下载两个版本的 Gemini Nano：一个是适用于 GPU 的版本，体积约 4GB，根据 GPU 性能的不同，可选择“最高质量”（HIGHEST_QUALITY）或“最快推理”（FASTEST_INFERENCE）两种运行模式；另一个是适用于没有 GPU 的设备的 CPU 版本，体积约 2.7GB。

Google 管这个模型叫“Nano”——纳米级，听起来很小巧。但对于用户存储空间本就有限的设备来说，一个 4GB 的“纳米”模型多少有些讽刺。

谷歌的声明也并未真正回应外界对透明度和用户同意的广泛批评。其立场很明确：下载是故意的，与 Chrome 的 AI 功能有关。如果用户不希望本地存储这个模型，现在可以选择手动退出。

更值得关注的是它的覆盖范围：Chrome 全球用户大约在 34.5 亿到 38.3 亿之间，市场占有率长期维持在 64% 以上。即便只有部分设备满足硬件要求，被影响的依然是数亿台桌面设备。这意味着，Google 正在进行的，已经不是一次普通功能更新，而是一场全球规模的“本地 AI 预部署实验”。

令人费解的事情之一是 Chrome 地址栏上那个显眼的“AI 模式”按钮，实际上依赖的是云端处理，而不是本地的 Gemini Nano 模型。这就让人不得不问：既然那个最常用的 AI 功能根本用不到本地模型，那 Chrome 为什么非要提前把这 4GB 塞进你的硬盘？

有开发者给出了一个合理猜测：这本质上是一个概念验证方案——它既能把计算成本转移到用户设备上，同时还能继续收集查询元数据。

如果有足够多的 Chrome 用户安装了它，Google 就可以开始做分组实验，对比“云端完整版模型”和“设备端 Nano 模型”生成的结果差异。如果本地模型的输出质量足够接近，或者用户能够接受，那么 Google 就可以逐步把这些查询从自己的服务器卸载到用户设备上，而且不会遭遇太大的阻力。

现在，无论是设备性能（尤其是手机），还是模型优化技术，都已经成熟到这样一种程度：大多数普通用户（非开发者、非 IT 从业者）根本不会注意到，自己搜索“苹果派怎么做”时看到的结果，到底来自本地模型，还是来自数据中心里的大型云端模型。

但这一切的代价，远不止占点硬盘空间。

Hanff 认为，Chrome 正在向数亿台设备推送一个 4GB 的二进制文件，这会带来可衡量、可量化，而且相当令人担忧的环境影响。

按照他的测算，仅把这个 4GB 模型传输到一台设备，就会产生约 0.06 kg 二氧化碳当量排放。如果覆盖 5 亿台设备，总排放将达到 3 万吨 CO₂e，相当于 6500 辆汽车一整年的尾气排放；如果覆盖 10 亿台设备，这一数字将升至 6 万吨。而这还只是初始推送的成本。用户删除后重新下载、模型后续更新、本地推理运行，都会继续把这笔账往上推。

但比气候账单更值得警惕的，是这件事背后的趋势。Anthropic 和 Google 做了同一件事：先动手，让用户自己去发现后果。用户的设备被当成了部署目标，而不是由用户主动控制的东西。对平台受益的功能默认开启、藏在角落、难以移除——转向设备端 AI，非但没有改变这种暗黑模式，反而在加速它。

Chrome 这个“危险的头”已经开了。而且，这不是 Google 一家的事——Anthropic 试过了，Google 铺开了，微软、苹果会站在旁边看吗？“本地算力强征”是否会在从个别厂商的试探，变成整个行业的默认选项？

也许唯一能让这个趋势停下来的，不是某家公司的“良心发现”，而是足够多的用户知道这件事、感到不舒服，并且开始追问一句：我的设备，到底谁说了算？

https://news.ycombinator.com/item?id=48019219

https://adsm.dev/posts/prompt-api/

声明：本文为 InfoQ 整理，不代表平台观点，未经许可禁止转载。

会议推荐

世界模型的下一个突破在哪？Agent 从 Demo 到工程化还差什么？安全与可信这道坎怎么过？研发体系不重构，还能撑多久？

AICon 上海站 2026，4 大核心专题等你来：世界模型与多模态智能突破、Agent 架构与工程化实践、Agent 安全与可信治理、企业级研发体系重构。14 个专题全面开放征稿。

诚挚邀请你登台分享实战经验。AICon 2026，期待与你同行。