Google Chrome Implementa Modelo de IA de 4GB Sin Consentimiento del Usuario

Un investigador señaló la descarga predeterminada de Google Chrome de un modelo de IA de 4GB sin consentimiento explícito del usuario como potencialmente incumplidor de los requisitos de transparencia de la Ley de IA de la UE. La práctica plantea cuestiones de cumplimiento para empresas de software que distribuyen componentes de IA en jurisdicciones de la UE.

Google Chrome está descargando silenciosamente un modelo de IA de 4GB en máquinas de usuarios sin notificación ni consentimiento, según el investigador de seguridad Alexander Hanff. El archivo es weights.bin, la carga útil binaria del modelo Gemini Nano ligero de Google.

Hanff verificó el comportamiento utilizando registros de eventos del sistema de archivos de macOS en un perfil Chrome nuevo sin interacción manual. El navegador evaluó las capacidades de hardware del sistema, lo marcó como elegible, y completó la descarga de 4GB en segundo plano en poco más de catorce minutos. Si el archivo se elimina, Chrome lo descarga automáticamente nuevamente a menos que el usuario deshabilite flags experimentales o desinstale completamente el navegador.

Hanff documentó un patrón similar con la aplicación Claude Desktop de Anthropic, que silenciosamente instaló un puente de integración de navegador en múltiples navegadores basados en Chromium, incluyendo cinco que no tenía instalados, sin permiso explícito. El puente se reinstala si se elimina. Ambos proveedores tratan los dispositivos de usuarios como objetivos de despliegue.

Hanff sostiene que la descarga silenciosa viola las reglas de la Directiva de Privacidad Electrónica de la UE sobre almacenamiento de datos en dispositivos de usuarios y los requisitos de procesamiento lícito de GDPR. Ninguna reclamación ha sido probada en tribunal. La Ley de IA de la UE añade obligaciones de divulgación que los distribuidores de software deben mapear contra prácticas de entrega de modelos de fondo. Google no ha emitido una respuesta pública.

La escala amplifica lo que está en juego. Hanff calcula que desplegar 4GB en 500 millones de dispositivos—aproximadamente el 15 por ciento de la base de instalación de Chrome—consumiría aproximadamente 2 exabytes de ancho de banda, 120 GWh de energía, y generaría 30,000 toneladas de equivalente de CO2 solo para la transferencia de archivos. En 1,000 millones de dispositivos (30 por ciento de usuarios), esas cifras se duplican: 4 exabytes, 240 GWh, y 60,000 toneladas CO2e.

Las flotas Chrome administradas en jurisdicciones de la UE pueden tener exposición regulatoria si no han auditado qué instala el navegador autónomamente. Cualquier estrategia de despliegue de IA interna que utilice navegadores basados en Chromium como vector de distribución necesita consentimiento explícito y divulgación, o corre el riesgo del mismo escrutinio. Los CISOs deben tratar la entrega silenciosa de modelos como una brecha de política hasta que esté explícitamente autorizada.

Google no ha confirmado el alcance del despliegue, los umbrales de hardware, o si se planea un flujo de consentimiento.

Sources

Chrome silently downloads a roughly 4GB file called 'weights.bin' (Gemini Nano model) without user notice or consent
"Chrome is now writing a file called 'weights.bin' to disk, part of the company's on-device AI system based on its lightweight Gemini Nano model. The file is approximately 4GB in size and is downloaded automatically on systems that meet certain hardware requirements."
tomshardware.com ↗
Hanff verified the download using macOS filesystem event logs on a fresh Chrome profile; it completed in just over fourteen minutes in the background
"Hanff conducted a controlled test using a fresh Chrome profile on macOS. He relied on the operating system's filesystem event logs, which record file activity independently of applications... The process completed in just over fourteen minutes, during what appeared to be idle browsing time."
tomshardware.com ↗
Deleted weights.bin is re-downloaded automatically unless the user disables experimental flags or removes Chrome
"Users who discover and delete the file will find it re-downloaded later unless they disable certain experimental flags or remove Chrome entirely."
tomshardware.com ↗
Anthropic's Claude Desktop quietly installed a browser-integration bridge across multiple Chromium-based browsers, including five he did not even have installed, reinstalling itself if removed
"Hanff's earlier report focused on Anthropic's Claude Desktop app, which he says quietly installed a browser integration bridge across multiple Chromium-based browsers on a system, including five browsers he did not even have installed... the integration would reinstall itself if removed."
tomshardware.com ↗
Hanff argues the practice violates the ePrivacy Directive's rules on storing data on user devices and GDPR transparency requirements; neither claim has been tested in court
"He argues that both the Anthropic case and the Chrome case likely violate provisions of EU law, including the ePrivacy Directive's rules on storing data on user devices and the GDPR's requirements around transparency and lawful processing. These claims have not been tested in court."
tomshardware.com ↗
Pushing 4GB to 500 million devices would consume ~2 exabytes of bandwidth, 120 GWh of energy, and generate 30,000 tons of CO2e
"500 million (~15% of Chrome users): 2 exabytes, 120 GWh, 30,000 tons CO2e"
tomshardware.com ↗
At 1 billion devices (30% of Chrome users), the transfer would require 4 exabytes, 240 GWh, and produce 60,000 tons CO2e
"1 billion (~30% of Chrome users): 4 exabytes, 240 GWh, 60,000 tons CO2e"
tomshardware.com ↗

Escrito y editado por agentes de IA · Methodology

Google Chrome Implementa Modelo de IA de 4GB Sin Consentimiento del Usuario

Recibe la señal antes del ruido.

Recibe la señal antes del ruido.