编译 | Tina Chrome 正在把你的电脑变成它的 AI 算力节点，没问过你，没通知你，而且删了还会自动重下。

        安全研究员 Alexander Hanff（网名 ThatPrivacyGuy）报告称，Chrome 一直在静默安装本地 Gemini Nano 大模型。

        它会以一个名为 weights.bin 的文件形式，存放在用户 Chrome 配置目录下的 OptGuideOnDeviceModel 文件夹中。

        只要 Chrome 判断你的设备满足硬件要求，这个 4GB 的下载就会自动发生。

        整个过程既不会请求授权，也不会发送任何通知。此外，如果你找到并删除该文件，Chrome 会自动下载一份新的副本并恢复它。

        事件引发争议后，谷歌昨天发表声明称，自 2024 年起他们就开始为 Chrome 提供 Gemini Nano 这一轻量级“本地模型”，并表示已逐步推出关闭选项。

        但声明回避了透明度和用户同意的核心问题——从头到尾，没人问过你同不同意。

        1 14 分 28 秒：Chrome 如何把 Gemini Nano 写进用户磁盘 就在不久前，也就是 2026 年 5 月初，Alexander Hanff 公开了自己的发现。

        而在此之前两周，他刚刚揭露过 Anthropic 的一项类似操作：Claude Desktop 会在用户电脑上，悄悄向七个基于 Chromium 的浏览器注册一个“桥接程序”。

        换句话说，用户启动产品 A 时，Anthropic 会安装这个桥接程序，并在未经用户许可的情况下，把配置信息写入用户安装的产品 B、C、D、E、F、G、H 中（如 Brave、Edge、Arc、Vivaldi、Opera 等）。

        并且这涉及到对大约 300 万台 Claude Desktop 用户设备进行了浏览器自动化预授权，当时，Hanff 写道：“这种做法突破了厂商的信任边界。没有征求用户同意的对话框，也没有退出选项。”

        他没想到的是，仅仅两周后，他又在 Google Chrome 上发现了几乎相同的模式。

        在任何安装了 Chrome 浏览器的设备上，用户配置文件中都有一个名为 OptGuideOnDeviceModel 的目录。

        该目录下有一个名为 weights.bin 的文件。

        该文件大小约为 4 GB，是 Gemini Nano 权重文件，可用于运行设备端推理，也是 Google Prompt API 背后的基础组件之一。

        关键是，Google 压根没问你。在 Chrome 设置里，并没有一个清楚的选项写着：“是否允许 Chrome 下载一个约 4GB 的本地 AI 模型？”也没有弹窗提示用户：接下来浏览器会占用你的磁盘空间，下载一个用于 AI 功能的模型文件。

        下载会在 Chrome 的 AI 功能启用时触发，而这些功能在最新版本的 Chrome 中默认启用。

        在任何满足硬件要求的设备上，Chrome 都会将用户的硬件视为交付目标并写入模型。

        更麻烦的是，删除并不能解决问题。已经有多个 Windows 用户报告了同样的循环：用户手动删除，过一段时间，Chrome 又把它下载回来；用户再次删除，Chrome 再次恢复。

        这个过程反复发生，唯一的办法是去 chrome://flags 里关闭相关 AI 功能，或者彻底卸载 Chrome。

        在 macOS 上，情况略有不同：该文件权限为 600，归用户所有（因此理论上可以删除）。

        但 Chrome 会在写入文件后，将安装状态保存在 Local State 中，一旦 Chrome 的灰度配置服务器再次判断该配置文件符合条件，下载就会再次触发。

        也就是说，权限机制不同，但整体逻辑一样：用户删掉的，只是文件本身；Chrome 仍然认为它应该存在。

        Hanff 还在一台全新的 macOS 设备上进行了独立验证。

        他利用 macOS 内核维护的 .fseventsd 文件系统事件日志，追踪了整个安装过程。

        这个日志不受 Chrome 或 Google 控制，会记录操作系统层面的文件创建、修改和删除事件。

        日志显示，2026 年 4 月 24 日 16:38:54，Chrome 在审计配置文件中创建了 OptGuideOnDeviceModel 目录；16:47:22，Chrome 启动多个解包进程，其中一个开始写入 weights.bin、模型配置和校验文件；到 16:53:22，解包完成，weights.bin 及相关配置被移动到最终位置。

        从目录创建到模型落位，整个过程只用了 14 分 28 秒。

        而且在这段时间里，这个 Chrome 配置文件没有任何真实用户输入，也从未打开过任何 AI 相关界面。

        前台浏览器可能只是按审计流程加载网页、等待倒计时结束，后台却已经完成了一个约 4GB 本地 AI 模型的下载、解包和安装。

        整个过程没有弹窗，没有通知，也没有任何“是否允许”的对话框。

        2 Google 的潜台词：我先下载，你不同意再自己去关 对于这场争议，Google 的回应透露出一个关键信息：Gemini Nano 进入 Chrome 并不是最近才发生的事。

        按照官方的说法：“自 2024 年以来，我们一直为 Chrome 浏览器提供 Gemini Nano，它是一款轻量级的本地安全模型。

        它支持重要的安全功能，例如欺诈检测和开发者 API，而无需将您的数据发送到云端。

        虽然它需要占用一些本地桌面空间才能运行，但如果设备资源不足，该模型会自动卸载。

        今年 2 月，我们开始逐步推出一项功能，允许用户直接在 Chrome 设置中轻松关闭和移除该模型。禁用后，该模型将不再下载或更新。”

        换句话说，这项“静默部署”已经持续了一年多，只是最近才被大规模曝光。

        而在社区里，关于这个模型的讨论其实更早就有迹可循：2025 年 4 月，Reddit 上有人发现这个缓存模型占了他 3GB 空间；到了同年 11 月，Stack Overflow 上的提问显示它已经涨到了 4GB。

        据分析，Chrome 会下载两个版本的 Gemini Nano：一个是适用于 GPU 的版本，体积约 4GB，根据 GPU 性能的不同，可选择“最高质量”（HIGHEST_QUALITY）或“最快推理”（FASTEST_INFERENCE）两种运行模式；另一个是适用于没有 GPU 的设备的 CPU 版本，体积约 2.7GB。

        Google 管这个模型叫“Nano”——纳米级，听起来很小巧。

        但对于用户存储空间本就有限的设备来说，一个 4GB 的“纳米”模型多少有些讽刺。

        谷歌的声明也并未真正回应外界对透明度和用户同意的广泛批评。

        其立场很明确：下载是故意的，与 Chrome 的 AI 功能有关。

        如果用户不希望本地存储这个模型，现在可以选择手动退出。

        更值得关注的是它的覆盖范围：Chrome 全球用户大约在 34.5 亿到 38.3 亿之间，市场占有率长期维持在 64% 以上。

        即便只有部分设备满足硬件要求，被影响的依然是数亿台桌面设备。

        这意味着，Google 正在进行的，已经不是一次普通功能更新，而是一场全球规模的“本地 AI 预部署实验”。

        令人费解的事情之一是 Chrome 地址栏上那个显眼的“AI 模式”按钮，实际上依赖的是云端处理，而不是本地的 Gemini Nano 模型。

        这就让人不得不问：既然那个最常用的 AI 功能根本用不到本地模型，那 Chrome 为什么非要提前把这 4GB 塞进你的硬盘？

        有开发者给出了一个合理猜测：这本质上是一个概念验证方案——

        它既能把计算成本转移到用户设备上，同时还能继续收集查询元数据。

        如果有足够多的 Chrome 用户安装了它，Google 就可以开始做分组实验，对比“云端完整版模型”和“设备端 Nano 模型”生成的结果差异。

        如果本地模型的输出质量足够接近，或者用户能够接受，那么 Google 就可以逐步把这些查询从自己的服务器卸载到用户设备上，而且不会遭遇太大的阻力。

        现在，无论是设备性能（尤其是手机），还是模型优化技术，都已经成熟到这样一种程度：大多数普通用户（非开发者、非 IT 从业者）根本不会注意到，自己搜索“苹果派怎么做”时看到的结果，到底来自本地模型，还是来自数据中心里的大型云端模型。

        但这一切的代价，远不止占点硬盘空间。Hanff 认为，Chrome 正在向数亿台设备推送一个 4GB 的二进制文件，这会带来可衡量、可量化，而且相当令人担忧的环境影响。

        按照他的测算，仅把这个 4GB 模型传输到一台设备，就会产生约 0.06 kg 二氧化碳当量排放。

        如果覆盖 5 亿台设备，总排放将达到 3 万吨 CO₂e，相当于 6500 辆汽车一整年的尾气排放；如果覆盖 10 亿台设备，这一数字将升至 6 万吨。

        而这还只是初始推送的成本。用户删除后重新下载、模型后续更新、本地推理运行，都会继续把这笔账往上推。

        但比气候账单更值得警惕的，是这件事背后的趋势。Anthropic 和 Google 做了同一件事：先动手，让用户自己去发现后果。

        用户的设备被当成了部署目标，而不是由用户主动控制的东西。

        对平台受益的功能默认开启、藏在角落、难以移除——转向设备端 AI，非但没有改变这种暗黑模式，反而在加速它。

        Chrome 这个“危险的头”已经开了。而且，这不是 Google 一家的事——

        Anthropic 试过了，Google 铺开了，微软、苹果会站在旁边看吗？

        “本地算力强征”是否会在从个别厂商的试探，变成整个行业的默认选项？

        也许唯一能让这个趋势停下来的，不是某家公司的“良心发现”，而是足够多的用户知道这件事、感到不舒服，并且开始追问一句：我的设备，到底谁说了算？

        参考链接：https://news.ycombinator.com/item?id=48019219https://adsm.dev/posts/prompt-api/声明：本文为 InfoQ 整理，不代表平台观点，未经许可禁止转载。

        今日好文推荐马斯克22万张GPU救场后，Claude勉强恢复“三个月前体验”，Gary Marcus却警告：GPU将严重过剩，很快不值钱Kubernetes 被 AI 打回“半成品”！

        K8s 之父发出警告：代码生成越快，程序员越危险42%的代码是AI写的，可96%的开发者不信它：谁敢拍板说“上线”？

        这成了2026年最大挑战硅谷大厂开始AI-first换血：先裁3万人、再招8000个新人，传统产品经理正在被Builder淘汰！

        会议推荐世界模型的下一个突破在哪？Agent 从 Demo 到工程化还差什么？

        安全与可信这道坎怎么过？研发体系不重构，还能撑多久？

        AICon 上海站 2026，4 大核心专题等你来：世界模型与多模态智能突破、Agent 架构与工程化实践、Agent 安全与可信治理、企业级研发体系重构。

        14 个专题全面开放征稿。诚挚邀请你登台分享实战经验。AICon 2026，期待与你同行。