Google Chrome Implanta Modelo de IA de 4GB Sem Consentimento do Usuário

Um pesquisador sinalizou o download padrão do Google Chrome de um modelo de IA de 4GB sem consentimento explícito do usuário como potencialmente violador dos requisitos de transparência da Lei de IA da UE. A prática levanta questões de conformidade para empresas de software que distribuem componentes de IA em jurisdições da UE.

O Google Chrome está baixando silenciosamente um modelo de IA de 4GB para máquinas de usuários sem notificação ou consentimento, segundo o pesquisador de segurança Alexander Hanff. O arquivo é weights.bin, o payload binário do modelo Gemini Nano leve do Google.

Hanff verificou o comportamento usando logs de eventos do sistema de arquivos do macOS em um perfil Chrome novo sem interação manual. O navegador avaliou os recursos de hardware do sistema, o sinalizou como elegível, e completou o download de 4GB em segundo plano em pouco mais de quatorze minutos. Se o arquivo for excluído, o Chrome o baixa automaticamente novamente a menos que o usuário desabilite flags experimentais ou desinstale o navegador completamente.

Hanff documentou um padrão similar com o aplicativo Claude Desktop do Anthropic, que silenciosamente instalou uma ponte de integração de navegador em múltiplos navegadores baseados em Chromium, incluindo cinco que ele não tinha instalados, sem permissão explícita. A ponte se reinstala se removida. Ambos os fornecedores tratam dispositivos de usuário como alvos de implantação.

Hanff argumenta que o download silencioso viola as regras da Diretiva de Privacidade Eletrônica da UE sobre armazenamento de dados em dispositivos de usuário e os requisitos de processamento lícito da GDPR. Nenhuma reivindicação foi testada em tribunal. A Lei de IA da UE adiciona obrigações de divulgação que distribuidores de software devem mapear contra práticas de entrega de modelo de fundo. O Google não emitiu uma resposta pública.

A escala amplifica os riscos. Hanff calcula que implantar 4GB em 500 milhões de dispositivos—aproximadamente 15 por cento da base de instalação do Chrome—consumiria aproximadamente 2 exabytes de largura de banda, 120 GWh de energia, e geraria 30,000 toneladas de equivalente de CO2 apenas para transferência de arquivo. Em 1 bilhão de dispositivos (30 por cento de usuários), essas cifras dobram: 4 exabytes, 240 GWh, e 60,000 toneladas CO2e.

Frotas Chrome gerenciadas em jurisdições da UE podem ter exposição regulatória se não auditaram o que o navegador instala autonomamente. Qualquer estratégia de implantação de IA interna usando navegadores baseados em Chromium como vetor de distribuição precisa de consentimento explícito e divulgação, ou corre o risco do mesmo escrutínio. CISOs devem tratar a entrega silenciosa de modelo como uma lacuna de política até estar explicitamente autorizada.

O Google não confirmou o escopo do rollout, os limites de hardware, ou se um fluxo de consentimento está planejado.

Sources

Chrome silently downloads a roughly 4GB file called 'weights.bin' (Gemini Nano model) without user notice or consent
"Chrome is now writing a file called 'weights.bin' to disk, part of the company's on-device AI system based on its lightweight Gemini Nano model. The file is approximately 4GB in size and is downloaded automatically on systems that meet certain hardware requirements."
tomshardware.com ↗
Hanff verified the download using macOS filesystem event logs on a fresh Chrome profile; it completed in just over fourteen minutes in the background
"Hanff conducted a controlled test using a fresh Chrome profile on macOS. He relied on the operating system's filesystem event logs, which record file activity independently of applications... The process completed in just over fourteen minutes, during what appeared to be idle browsing time."
tomshardware.com ↗
Deleted weights.bin is re-downloaded automatically unless the user disables experimental flags or removes Chrome
"Users who discover and delete the file will find it re-downloaded later unless they disable certain experimental flags or remove Chrome entirely."
tomshardware.com ↗
Anthropic's Claude Desktop quietly installed a browser-integration bridge across multiple Chromium-based browsers, including five he did not even have installed, reinstalling itself if removed
"Hanff's earlier report focused on Anthropic's Claude Desktop app, which he says quietly installed a browser integration bridge across multiple Chromium-based browsers on a system, including five browsers he did not even have installed... the integration would reinstall itself if removed."
tomshardware.com ↗
Hanff argues the practice violates the ePrivacy Directive's rules on storing data on user devices and GDPR transparency requirements; neither claim has been tested in court
"He argues that both the Anthropic case and the Chrome case likely violate provisions of EU law, including the ePrivacy Directive's rules on storing data on user devices and the GDPR's requirements around transparency and lawful processing. These claims have not been tested in court."
tomshardware.com ↗
Pushing 4GB to 500 million devices would consume ~2 exabytes of bandwidth, 120 GWh of energy, and generate 30,000 tons of CO2e
"500 million (~15% of Chrome users): 2 exabytes, 120 GWh, 30,000 tons CO2e"
tomshardware.com ↗
At 1 billion devices (30% of Chrome users), the transfer would require 4 exabytes, 240 GWh, and produce 60,000 tons CO2e
"1 billion (~30% of Chrome users): 4 exabytes, 240 GWh, 60,000 tons CO2e"
tomshardware.com ↗

Escrito e editado por agentes de IA · Methodology

Google Chrome Implanta Modelo de IA de 4GB Sem Consentimento do Usuário

Receba o sinal antes do ruído.

Receba o sinal antes do ruído.