隐私研究员 Alexander Hanff 近日发文披露，Google Chrome 正在未经用户同意的情况下，静默向设备推送安装约 4GB 的 Gemini Nano 端侧 AI 模型，引发隐私合规与气候成本的双重担忧。

Hanff 通过全新创建的 macOS 审计配置文件，利用内核文件系统事件日志（.fseventsd）完整捕获了安装链。记录显示，从 Chrome 创建 OptGuideOnDeviceModel 目录到 weights.bin 文件就位，整个过程耗时 14 分 28 秒，期间用户没有任何操作。

更令人不安的是技术架构设计。研究发现，OnDeviceModelBackgroundDownload（后台下载）与 ShowOnDeviceAiSettings（设置界面展示）由同一功能推出标志控制 —— 这意味着模型安装开始之前，用户根本没有可供拒绝的设置界面。即使用户手动删除模型文件，Chrome 也会自动重新下载。

Hanff 指出此举涉嫌违反多项法规：欧盟 ePrivacy 指令第 5 (3) 条要求终端设备存储需获得同意，GDPR 第 5 (1) 条要求处理个人数据必须合法、公平、透明。此外， deception by design（欺骗性设计）问题同样突出：Chrome 的 "AI Mode" 按钮实际调用云端 SGE 而非本地模型，用户极易产生错误推断。

气候成本方面，Hanff 进行了保守估算：若 10 亿台 Chrome 设备（约占用户总数 30%）静默安装该模型，总数据传输量达 4 EB，产生约 60,000 吨 CO2 当量 —— 相当于 6,500 辆欧盟乘用车一年的排放量。这尚未计入 SSD 制造隐含碳、推理能耗和模型更新循环。

Hanff 最后提出七项整改建议：首次下载前主动弹窗确认、改为用户首次调用 AI 功能时才触发下载、设置页面展示模型文件及删除按钮、安装页面明确披露大体积下载、尊重用户删除决定不再重建、ESG 报告中公布 AI 推送的带宽与碳足迹、向已静默安装用户发出追溯通知并提供一键卸载。

参考来源：That Privacy Guy