Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
2026年5月,一个普通的周二下午。14分28秒内,一个4GB的文件出现在全球数百万台Mac和PC上。没有通知,没有许可,没有退出选项。
Google的Chrome 147浏览器在用户不知情的情况下,静默下载并安装了Gemini Nano——一个本地AI模型。这是继Anthropic被曝光在Claude Desktop安装时静默注册到7个Chromium浏览器之后,又一起大规模用户设备入侵事件。
但这次更严重。因为Chrome不是某个垂直领域的工具,它是全球20亿人上网的默认入口。
四重证据链
独立隐私安全研究员通过四条独立证据链确认了这一行为:
第一条:macOS内核文件系统事件。 内核日志完整记录了文件写入的时间戳和路径。用户没有触发任何操作,文件就这样凭空出现了。
第二条:Chrome的per-profile状态。 每个Chrome用户profile下都有独立的模型文件记录。这意味着即使是共享一台电脑的不同用户,也会分别收到这个4GB的“礼物”。
第三条:运行时feature flags。 Chrome的内部实验标志显示,模型推送状态被标记为“已激活”——即使用户从未主动开启任何AI功能。
第四条:Google自己的组件更新日志。 Google的服务器日志确认了推送指令的存在。这是来自源头的确凿证据。
四条证据链,全部指向同一个结论:用户没有做任何事,4GB数据就写入了他们的磁盘。这是一个架构级别的静默分发机制。
最阴险的细节:地址栏的“AI Mode”药丸
比静默安装更值得警惕的,是Chrome 147在地址栏最显眼位置渲染的那个“AI Mode”药丸。
当用户看到地址栏右侧那个醒目的“AI Mode”标识,点击它,会以为自己的AI查询在本地处理。毕竟本地模型都已经悄悄装上了,不是吗?
实际情况是:用户的查询照常发送到Google的服务器。本地安装的那个4GB模型,从来没有被“AI Mode”调用过。
这是一个精心设计的用户体验陷阱:
- 用户承担了存储成本——4GB磁盘空间被占用
- 用户承担了带宽成本——静默下载消耗了流量
- 用户获得了一个幻觉——看起来像本地隐私保护的云端AI入口
那个4GB的本地模型是Google的资产。它被部署在用户设备上,但不是为了用户服务——而是为了Google未来在用户设备上调用AI能力铺路。
用户的硬件被征用为Google的分发节点,同时用户还以为自己获得了隐私保护。这是双重欺骗。
法律分析:一系列毫不含糊的违反
法律框架对这件事的判断是清晰的。
欧盟ePrivacy指令第5(3)条明确规定:未经用户明确、知情、具体的同意,禁止在用户终端设备上存储信息或获取已存储信息。Gemini Nano权重文件是存储在用户终端设备上的信息。用户没有同意。这条违反是直接的、毫不含糊的。
GDPR第5(1)条要求数据处理必须合法、公平、透明。当用户的硬件被用于判断是否符合模型推送条件,当安装事件被记录在Google的服务器上——透明原则已经被打破。用户不知道自己的设备被评估了,不知道数据被记录了,不知道模型被安装了。
GDPR第25条要求“默认情况下的数据最小化”。在用户可能永远不会主动调用的功能上预装4GB模型,是数据最小化的反面——这是数据最大化的架构。
这不只是欧盟的问题。英国GDPR和加拿大隐私法同样适用。美国加州CCPA同样存在漏洞——没有在收集通知中披露过这种“预装软件”的类别。
另有隐私律师指出,这可能还触犯了各国计算机安全法规——未经授权在他人设备上写入数据,可能构成刑事入侵。
环境代价:6,000到60,000吨CO2
Chrome在全球有20亿活跃用户。假设Google分批次推送这个模型,单次推送的碳排放成本在6,000到60,000吨CO2之间——具体数字取决于有多少设备在同一时间接收推送,以及这些设备所在地区电网的碳强度。
这不是基础设施投资。这是利用用户设备的带宽和电力,未经用户同意,为Google的AI能力建设买单。
作为对比:一次从伦敦到纽约的往返航班大约产生1.5吨CO2。60,000吨CO2相当于40,000次跨大西洋往返航班的碳排放——全部由用户的设备贡献。
与Anthropic的模式完全一致
这不是孤例。2026年4月,Anthropic的Claude Desktop安装程序被曝光会在用户启动时,静默注册到7个第三方Chromium浏览器——跨厂商信任边界,未经用户同意,在用户已有的软件环境里写入配置。删除后会重新注册。
Google用了同样的模式。同样的暗套路。同样的无同意设计。
当企业AI开始在用户设备上建立“第二轨道”——在用户可见界面之外部署自己的存在——这不是功能迭代。这是控制权的悄悄转移。
“AI Mode”药丸是一个视觉掩护。它让那个4GB的本地模型看起来在为用户服务,实际上它在为Google未来的调用能力布局。
用户能做什么?
首先,检测。你可以打开终端,检查以下路径是否存在额外的模型文件(Mac路径示例):
ls -la ~/Library/Application Support/Google/Chrome/
如果你看到类似“GeminiNano”或“model”的目录,那就是你已经被静默安装的证据。
其次,删除。目前已知的删除方法是手动删除相关目录。但问题是:删除之后,Chrome下次启动时会不会悄悄装回来?按照Anthropic建立的模式——会的。
第三,反馈。这次事件在Hacker News上引发了超过800条评论,说明用户对这种“先造成事实、再要求接受”的AI分发模式越来越不满。监管机构最终会介入,但在那之前,开发者社区的声音很重要。
这不是功能,这是架构宣言
Google在Chrome里植入本地AI模型,不是为了提升用户体验。这是Google在宣告:你们的设备是我们的分发节点,我们的AI能力要铺到端侧,你们的同意不是必要条件。
这不是一个bug。这是一种设计的feature——以一种用户无法察觉、无法拒绝、无法核查的方式,把AI能力从云端延伸到用户设备上。
当全球20亿用户的默认浏览器开始在他们设备上布设AI能力——没有许可,没有透明,没有退出机制——我们需要问一个简单的问题:
这台电脑是谁的?
