5月7日消息,知名安全研究员Alexander Hanff发布最新分析报告,曝光谷歌Chrome浏览器的静默下载违规行为。该浏览器会未经用户通知与许可,在用户设备后台下载约4GB的本地AI模型,相关事件已在全球引发隐私与用户权益争议。
Hanff在业内被称为“That Privacy Guy”(隐私专家),他此前刚曝光过Anthropic旗下Claude桌面端软件的同类问题。该软件会未经用户许可,在多款Chromium内核浏览器中静默安装集成组件,甚至覆盖了用户并未安装的5款浏览器。他认为,这种对用户环境的静默修改既违反了用户的预期,也违反了欧洲隐私法。
Hanff指出,Chrome自动下载的文件名为“weights.bin”,是谷歌Gemini Nano端侧AI模型的核心文件,大小约4GB。下载仅在符合特定硬件要求的设备上自动触发,全程无任何明确的用户同意流程。
Chrome不会弹出提示,也没有提供直观的设置选项阻止下载。用户即便手动删除该文件,后续它仍会被重新下载,除非他们禁用某些实验性功能或彻底卸载Chrome浏览器。
为验证该行为,Hanff在macOS系统上用全新Chrome配置文件完成了测试。他通过系统独立的文件系统事件日志确认,浏览器在无用户操作的空闲时段,后台完成了4GB文件的全量下载,全程耗时14分钟。Chrome的内部状态文件也显示,浏览器会主动评估设备硬件资格,而非响应用户的明确操作才启动下载。
针对此事,谷歌向外媒发布官方声明回应。谷歌表示,这项举措自2024年起就已推行,Gemini Nano是轻量级端侧模型,可支持诈骗侦测、开发者API等安全功能,能避免用户数据上传云端,设备存储空间不足时模型会自动卸载。
谷歌解释,今年2月,我们开始陆续推出让用户可在Chrome设置中轻松关闭并移除模型的功能。一旦停用后,模型便不会进行下载或更新。
