编译 | Tina 改写

近期，Chrome浏览器的一项操作引发了广泛关注和争议——它似乎在未经用户明确许可的情况下，悄然将用户的电脑转变为AI算力节点，不仅占用了大量硬盘空间，还消耗了算力资源，甚至在用户删除相关文件后还会自动重新下载。

据安全研究员Alexander Hanff（网名ThatPrivacyGuy）的报告，Chrome一直在静默安装本地的Gemini Nano大模型。这个模型以weights.bin文件的形式，被存放在用户Chrome配置目录下的OptGuideOnDeviceModel文件夹中。

只要Chrome检测到用户的设备满足一定的硬件要求，这个约4GB的下载就会自动进行。整个过程既不会向用户请求授权，也不会发送任何形式的通知。更令人惊讶的是，即使用户找到并删除了这个文件，Chrome也会自动下载一份新的副本并恢复它。

面对这一事件引发的广泛争议，谷歌近日发表声明称，自2024年起，他们就开始为Chrome提供Gemini Nano这一轻量级的“本地模型”，并表示已逐步推出关闭选项。然而，谷歌的声明并未直接回应关于透明度和用户同意的核心问题——从头到尾，用户都没有被询问过是否同意这一操作。

1 14分28秒：Chrome如何将Gemini Nano写入用户磁盘

就在不久前的2026年5月初，Alexander Hanff公开了他的这一发现。而在此之前两周，他还曾揭露过Anthropic的一项类似操作：Claude Desktop会在用户电脑上悄悄向七个基于Chromium的浏览器注册一个“桥接程序”。这意味着，当用户启动产品A时，Anthropic会安装这个桥接程序，并在未经用户许可的情况下，将配置信息写入用户安装的其他产品中（如Brave、Edge、Arc、Vivaldi、Opera等）。

据Hanff估计，这涉及到对大约300万台Claude Desktop用户设备进行了浏览器自动化预授权。当时，他就曾指出：“这种做法突破了厂商的信任边界，没有征求用户同意的对话框，也没有退出选项。”

令人意想不到的是，仅仅两周后，Hanff又在Google Chrome上发现了几乎相同的操作模式。

在任何安装了Chrome浏览器的设备上，用户配置文件中都会有一个名为OptGuideOnDeviceModel的目录。该目录下有一个名为weights.bin的文件，大小约为4GB，是Gemini Nano的权重文件，可用于运行设备端推理，也是Google Prompt API背后的基础组件之一。

关键在于，Google在整个过程中根本没有询问用户的意见。在Chrome的设置里，并没有一个清晰的选项写着：“是否允许Chrome下载一个约4GB的本地AI模型？”也没有弹窗提示用户：接下来浏览器会占用你的磁盘空间，下载一个用于AI功能的模型文件。这个下载会在Chrome的AI功能启用时触发，而这些功能在最新版本的Chrome中默认是启用的。在任何满足硬件要求的设备上，Chrome都会将用户的硬件视为交付目标并写入模型。

更麻烦的是，仅仅删除这个文件并不能解决问题。

已经有多个Windows用户报告了同样的循环：用户手动删除文件后，过一段时间，Chrome又会把它下载回来；用户再次删除，Chrome再次恢复。这个过程反复发生，唯一的解决办法是去chrome://flags里关闭相关AI功能，或者彻底卸载Chrome。

在macOS上，情况略有不同：该文件的权限为600，归用户所有（因此理论上可以删除）。但Chrome会在写入文件后，将安装状态保存在Local State中。一旦Chrome的灰度配置服务器再次判断该配置文件符合条件，下载就会再次触发。也就是说，虽然权限机制不同，但整体逻辑是一样的：用户删掉的只是文件本身，Chrome仍然认为它应该存在。

Hanff还在一台全新的macOS设备上进行了独立验证。他利用macOS内核维护的.fseventsd文件系统事件日志，追踪了整个安装过程。这个日志不受Chrome或Google控制，会记录操作系统层面的文件创建、修改和删除事件。

日志显示，2026年4月24日16:38:54，Chrome在审计配置文件中创建了OptGuideOnDeviceModel目录；16:47:22，Chrome启动多个解包进程，其中一个开始写入weights.bin、模型配置和校验文件；到16:53:22，解包完成，weights.bin及相关配置被移动到最终位置。

从目录创建到模型落位，整个过程只用了14分28秒。而且在这段时间里，这个Chrome配置文件没有任何真实用户输入，也从未打开过任何AI相关界面。前台浏览器可能只是按审计流程加载网页、等待倒计时结束，后台却已经完成了一个约4GB本地AI模型的下载、解包和安装。整个过程没有弹窗、没有通知，也没有任何“是否允许”的对话框。

2 Google的潜台词：我先下载，你不同意再自己去关

对于这场争议，Google的回应透露出一个关键信息：Gemini Nano进入Chrome并不是最近才发生的事。按照官方的说法：

“自2024年以来，我们一直为Chrome浏览器提供Gemini Nano，它是一款轻量级的本地安全模型。它支持重要的安全功能，例如欺诈检测和开发者API，而无需将您的数据发送到云端。虽然它需要占用一些本地桌面空间才能运行，但如果设备资源不足，该模型会自动卸载。今年2月，我们开始逐步推出一项功能，允许用户直接在Chrome设置中轻松关闭和移除该模型。禁用后，该模型将不再下载或更新。”

换句话说，这项“静默部署”已经持续了一年多，只是最近才被大规模曝光。而在社区里，关于这个模型的讨论其实更早就有迹可循：2025年4月，Reddit上有人发现这个缓存模型占了他3GB空间；到了同年11月，Stack Overflow上的提问显示它已经涨到了4GB。

据进一步分析，Chrome实际上会下载两个版本的Gemini Nano：一个是适用于GPU的版本，体积约4GB，根据GPU性能的不同，可选择“最高质量”（HIGHEST_QUALITY）或“最快推理”（FASTEST_INFERENCE）两种运行模式；另一个是适用于没有GPU的设备的CPU版本，体积约2.7GB。

Google将这个模型称为“Nano”——纳米级，听起来非常小巧。然而，对于用户存储空间本就有限的设备来说，一个4GB的“纳米”模型多少有些讽刺意味。

谷歌的声明也并未真正回应外界对透明度和用户同意的广泛批评。其立场很明确：下载是故意的，与Chrome的AI功能有关。如果用户不希望本地存储这个模型，现在可以选择手动退出。

更值得关注的是它的覆盖范围：Chrome全球用户大约在34.5亿到38.3亿之间，市场占有率长期维持在64%以上。即便只有部分设备满足硬件要求，被影响的依然是数亿台桌面设备。这意味着，Google正在进行的，已经不是一次普通的功能更新，而是一场全球规模的“本地AI预部署实验”。

令人费解的事情之一是，Chrome地址栏上那个显眼的“AI模式”按钮，实际上依赖的是云端处理，而不是本地的Gemini Nano模型。这就让人不得不问：既然那个最常用的AI功能根本用不到本地模型，那Chrome为什么非要提前把这4GB塞进你的硬盘？

有开发者给出了一个合理的猜测：这本质上是一个概念验证方案——它既能把计算成本转移到用户设备上，同时还能继续收集查询元数据。

如果有足够多的Chrome用户安装了它，Google就可以开始做分组实验，对比“云端完整版模型”和“设备端Nano模型”生成的结果差异。如果本地模型的输出质量足够接近，或者用户能够接受，那么Google就可以逐步把这些查询从自己的服务器卸载到用户设备上，而且不会遭遇太大的阻力。

现在，无论是设备性能（尤其是手机），还是模型优化技术，都已经成熟到这样一种程度：大多数普通用户（非开发者、非IT从业者）根本不会注意到，自己搜索“苹果派怎么做”时看到的结果，到底来自本地模型，还是来自数据中心里的大型云端模型。

但这一切的代价，远不止占点硬盘空间那么简单。

Hanff认为，Chrome正在向数亿台设备推送一个4GB的二进制文件，这会带来可衡量、可量化，而且相当令人担忧的环境影响。

按照他的测算，仅把这个4GB模型传输到一台设备，就会产生约0.06kg二氧化碳当量排放。如果覆盖5亿台设备，总排放将达到3万吨CO₂e，相当于6500辆汽车一整年的尾气排放；如果覆盖10亿台设备，这一数字将升至6万吨。而这还只是初始推送的成本。用户删除后重新下载、模型后续更新、本地推理运行，都会继续把这笔账往上推。

但比气候账单更值得警惕的，是这件事背后的趋势。Anthropic和Google都做了同一件事：先动手，让用户自己去发现后果。用户的设备被当成了部署目标，而不是由用户主动控制的东西。对平台受益的功能默认开启、藏在角落、难以移除——转向设备端AI，非但没有改变这种暗黑模式，反而在加速它。

Chrome这个“危险的头”已经开了。而且，这不是Google一家的事——Anthropic试过了，Google铺开了，微软、苹果会站在旁边看吗？“本地算力强征”是否会从个别厂商的试探，变成整个行业的默认选项？

也许唯一能让这个趋势停下来的，不是某家公司的“良心发现”，而是足够多的用户知道这件事、感到不舒服，并且开始追问一句：我的设备，到底谁说了算？

https://news.ycombinator.com/item?id=48019219

https://adsm.dev/posts/prompt-api/

声明：本文为徽声在线整理，不代表平台观点，未经许可禁止转载。

会议推荐

世界模型的下一个突破点在哪里？Agent从Demo到工程化还缺少什么？安全与可信这道坎如何跨越？研发体系不进行重构，还能支撑多久？

AICon上海站2026，四大核心专题等你来探索：世界模型与多模态智能的突破、Agent架构与工程化实践、Agent安全与可信治理、企业级研发体系的重构。14个专题全面开放征稿。

我们诚挚邀请你登台分享实战经验。AICon 2026，期待与你一同前行。