2026年5月 Chrome 偷塞4GB AI模型引爆全球爭議：「零通知安裝」正撕裂數位信任的最後底線

2026年5月 Chrome 偷塞4GB AI模型引爆全球爭議：「零通知安裝」正撕裂數位信任的最後底線

研究人員透過四個完全獨立的證據來源建立了證據鏈，包括 macOS 內核層級的 .fseventsd 檔案系統事件日誌、Chrome 自身的 Local State JSON 狀態檔案、Chrome 執行時的 Feature Flags 設定、以及 GoogleUpdater 元件更新器日誌。四個獨立來源指向完全相同的結論：一個 4GB 的 AI 模型在未經任何人類操作的情況下到達了用戶硬碟。這不是任何第三方外掛或惡意程式所為，而是 Google 官方穩定版瀏覽器自身的行為。

事件現場：一場沒有徵兆的 4GB 入侵

讓我們仔細還原實驗現場。研究人員創建了一個全新的 Chrome 使用者設定檔，啟動了完全自動化的稽核工具。這個工具只會載入第三方網站頁面、停留五分鐘、然後關閉分頁並切換到下一個網站。在這整段過程中，沒有任何人工操作，沒有鍵盤輸入，也沒有滑鼠點擊。稽核驅動程式要麼正在某個第三方首頁上等待計時器到期，要麼正在頁面之間切換過渡，而 Chrome 的後台解壓程序就在這段空檔中靜默啟動，在背景執行了整個 4GB 檔案的下載、解壓和歸檔。

macOS 的 .fseventsd 是一個作業系統層級的檔案系統事件日誌，Chrome 作為使用者層級的應用程式無法竄改它，Google 的遠端伺服器也無法接觸它，而且即使被記錄的檔案事後被刪除，日誌的頁面檔案仍然會保留下來。這份日誌就像一位忠實的旁觀者，記錄了整個過程的每一個時間戳記，從暫存目錄建立、4GB 資料分段寫入、到最終將檔案 move 進目標路徑，精確到每一個檔案系統事件。暫存目錄的命名更是直接指向兇手：com.google.Chrome.chrome_chrome_Unpacker_BeginUnzipping.xxxxxx。這是 Chrome 自己的 Bundle ID 和子程序命名慣例，不是任何第三方更新器，也不是作業系統元件。

Chrome 自身的 Local State JSON 也出賣了自己。在這個檔案中可以找到 optimization_guide.on_device 區塊，裡面明確記錄了 model_validation_result，包含 attempt_count 為 1、result 為 2，以及 component_version 的具體版本字串。與此同時，Chrome 的 ChromeFeatureState 檔案列出了 enable-features 中包含 OnDeviceModelBackgroundDownload 和 ShowOnDeviceAiSettings 這兩個旗標，分別對應自動背景下載的行為開關，以及讓 chrome://settings 顯示本地 AI 設定選項的 UI 開關。再加上 GoogleUpdater 日誌中對同一個 appid 控制元件的抓取記錄，四重證據來源互相獨立卻指向同一個結論。

更可怕的是，即使你發現了它的存在並刪除它，問題也沒有結束。大量 Windows 用戶在各種技術論壇上回報，手動刪除 weights.bin 後，Chrome 在下次啟動時會自動重新下載並恢復這個檔案。這不是 bug，而是設計好的行為：Chrome 把你的刪除動作視為一種需要被修正的暫時狀態，而不是一個需要被尊重的用戶決定。要真正阻止它，你必須深入 chrome://flags 手動關閉 AI 相關功能，或者修改企業群組策略，而這兩種方式都遠遠超出一般消費者的能力範圍和知識範圍。

最諷刺的設計：你看到的 AI 根本不用這個模型

Chrome 147 版本在網址列旁邊新增了一個「AI Mode」的膠囊按鈕。這個按鈕位於瀏覽器最醒目的視覺區域，也是絕大多數用戶能接觸到的 Chrome AI 功能唯一入口。研究人員指出，當你點擊這個按鈕、輸入查詢內容並按下 Enter 時，你的文字其實是透過網路傳送到 Google 的雲端伺服器，由遠端託管的大型模型進行處理，而不是由你硬碟裡那個 4GB 的 Gemini Nano 本地模型來處理。換句話說，這個被你強制養在硬碟裡的本地模型，在你最常使用的 AI 功能中，根本連出場的機會都沒有。

你付了儲存空間的租金，你付了頻寬的下載費，你付了電費養這個模型，但你最常使用的 AI 功能卻完全繞過它。這不只是單純的資源浪費，更是一個精心設計的資訊不對稱陷阱。用戶看到瀏覽器上寫著「AI Mode」，看到設定頁面裡出現了本地 AI 選項，自然會產生一種印象：我的查詢是在本地處理的。但實際上，所有經由 AI Mode 介面輸入的內容都會被傳送到 Google 的雲端伺服器，而那個 4GB 模型只處理一些你甚至可能從未主動觸發的功能。

歐洲資料保護委員會在二零二二年三月發布的指引文件中，系統性地整理了社交媒體平台上的欺騙性設計模式。作者認為 Chrome 的這種配置至少觸犯了其中三類：第一類是誤導性資訊，因為「AI Mode」這個標籤沒有標註「雲端處理」或「查詢將傳送至 Google 伺服器」，製造了一個關於處理位置的虛假印象。第二類是介面干擾，本地模型的存在讓用戶誤以為處理在設備端發生，模糊了雲端與本地的界線。第三類是隱藏資訊，4GB 的下載成本和實際的資料流向被深埋在開發者文件和進階設定中，一般消費者永遠不會主動去看，也永遠不會知情。

當一個產品讓你花費 4GB 硬碟空間、多次重新下載的頻寬成本、以及設備待機和推論時的電力消耗，去養一個你從未使用、也從未同意的本地模型，同時把你的實際輸入全部導向雲端伺服器時，這不是技術設計上的雙重標準，這是對用戶資源的雙重收割。你既被當成了雲端 AI 的免費訓練素材來源，又被當成了本地 AI 模型的免費託管平台。

法律層面：Chrome 一口氣踩了多少條紅線

這起事件觸及的法規條文之多，已經足以開設一場完整的數位法學研討會。首先是歐盟《隱私與電子通訊指令》第 5 條第 3 款，它在二零零二年就已經生效，至今仍具有完全的法律效力。這條款明文規定：在用戶的終端設備上儲存資訊，或者透過任何方式存取用戶終端設備上已經儲存的資訊，都必須取得用戶的事先同意。這種同意必須是自由給予的、具體針對特定目的的、在知情基礎上做出的、並且透過明確的肯定行為表達出來的。唯一的例外條件是該行為「嚴格必要於提供用戶主動要求的服務」。一個用戶從未要求、Chrome 也從未在任何顯眼位置說明的 4GB AI 模型，很難被論證為「嚴格必要」。

接下來是《一般資料保護規範》GDPR 第 5 條第 1 款，它要求所有個人資料的處理都必須合法、公平、透明。在研究人員描述的過程中，Chrome 會分析用戶的硬體規格，包括 CPU 類別、GPU 類別、系統記憶體大小和可用顯示記憶體，來計算一個「效能等級」，並根據這個等級決定用戶「有沒有資格」接收這個模型推播。這個硬體分析本身就是對個人資料的處理，因為硬體配置資訊可以與特定設備和個人產生關聯。安裝事件會被記錄並回傳到 Google 的伺服器，而這個模型未來若處理用戶提示內容，同樣會涉及個人資料的處理。每一個環節都需要一個法律上的處理依據，但目前 Google 的做法缺乏任何可被辯護的同意基礎。

更進一步觸及的是 GDPR 第 25 條的「資料保護設計與預設」義務。這條規定要求資料控制者在設計產品時就必須實施適當的技術和組織措施，確保在預設情況下，只處理每個特定目的所嚴格必要的個人資料。預載一個 4GB 的 AI 模型到用戶硬碟上，是為了應對一個「用戶未來可能會使用某個 AI 功能」的假設性場景，而不是回應任何實際發生的用戶請求。這恰恰是資料保護設計義務的反面教材，是「預設過度處理」的典型表現。

除了歐洲法律，美國的《加州消費者隱私法》CCPA 也對這種行為提出了挑戰。CCPA 要求企業在收集消費者個人資訊時提供「收集時通知」，告知消費者收集的類別和目的。但對於一個 4GB 模型的預載行為，Chrome 既沒有在安裝時通知，也沒有在首次啟動時提示，更沒有在設定頁面的顯眼位置說明。這讓 Google 在 CCPA 框架下的合規姿態同樣難以站穩腳跟。

作者還點出了一個更為嚴峻的問題：在很多國家的刑事法律中，未經授權在他人設備上寫入二進位檔案、阻止用戶刪除、以及在用戶刪除後自動重新寫入，這三種行為的組合可能已經觸及電腦濫用或非法入侵資訊系統的刑事責任邊界。雖然 Google 作為軟體提供者，在授權條款中可能獲得了一定程度的法律緩衝，但其行為的規模和性質已經遠遠超過傳統的軟體更新邊界。

環境層面：AI 推動的碳排放從來不只是數據中心的事

過去幾年，關於 AI 碳排放的討論幾乎全部集中在數據中心裡燒電的 GPU 上。但這次事件提供了一個新的視角：當 AI 模型開始被大規模塞進全球數十億台終端設備時，碳排放的戰場已經從集中式的機房擴散到了每一個用戶的家裡、每一台筆電的硬碟上、每一次行動網路的背景傳輸中。

Chrome 對這個本地模型的硬體門檻設定並不低。根據研究人員的描述，Apple Silicon 裝置需要約十六 GB 的統一記憶體，Windows 裝置需要十六 GB 以上的系統記憶體，並且需要配備具有足夠 VRAM 的獨立或整合式 GPU。符合這些硬體門檻的設備占全球總數的比例多少？Google 沒有公布官方數字。但研究人員根據市場調查資料做了中位數估計，落在約一億台到五億台之間。也就是說，全世界有數億台符合條件的裝置，正躺在家裡或辦公室裡，靜靜等待 Chrome 幫他們新增一個 4GB 的秘密房客。

研究人員引用了 Pärssinen 等人在二零一八年發表於國際環境科學期刊 Science of The Total Environment 的學術論文，來建立網路傳輸能耗的計算模型。根據這個方法論，單次下載一個 4GB 檔案所消耗的能源，取決於用戶使用的是固定網路還是行動網路，數值約落在 0.05 千瓦時到 0.48 千瓦時之間。

若以中位數估計二億五千萬台設備接收這個模型，那麼僅僅是單一次推送所產生的總碳排放，就可以從低估值的六千噸二氧化碳當量，飆升到高估值的六萬噸二氧化碳當量。低能耗情境對應二萬四千兆瓦時的總能耗，約等於七千個英國家庭一整年的用電量，碳排放約六千噸二氧化碳當量，相當於一千三百輛歐盟平均乘用車一年的排放量。中能耗情境對應十二萬兆瓦時，約等於三萬六千個英國家庭一年的用電量，或是一台十四百萬瓦的風力發電機組在英國典型容量因子下運轉一整年的輸出量，碳排放約三萬噸二氧化碳當量，等於六千五百輛車的年排量，或相當於八千位乘客從倫敦飛往雪梨再飛回的經濟艙航班總碳排放。高能耗情境對應二十四萬兆瓦時，約等於七萬二千個英國家庭的年用電量，碳排放可達六萬噸二氧化碳當量。

這還僅僅是單次推送的數字。現實的情況遠比這個更糟。它沒有算入用戶刪除後 Chrome 自動重新下載的惡性循環，這個循環對某些用戶可能重複多次。它也沒有算入後續的模型更新，因為 AI 模型會定期被新版本取代，每次更新都會再啟動新一輪的下載。它也沒有算入本地推論時晶片運算所消耗的額外能源，雖然目前這個模型在大多數用戶的設備上處於休眠狀態，但只要 Chrome 的 AI 功能被啟動，處理器和 GPU 就要開始燃燒電力。

而當你把視角轉向行動網路時，這張圖變得更加殘酷。非洲大部分地區、南亞和東南亞大部分地區、拉丁美洲大部分地區的用戶，把智慧型手機視為他們唯一上網的設備。在這些地區，4G 和 5G 的行動數據方案通常有極其嚴格的月度上限，幾 GB 的額度並不罕見。對他們來說，Chrome 一聲不吭地下載一個 4GB 模型，等於瞬間蒸發了整個月的數據配額。而 Google 到目前為止，沒有針對受影響地區或用戶提出任何補償方案、退款機制或主動通知。用戶只有在發現手機儲存空間突然消失時，才會開始追查原因。

在企業 ESG 永續報告的語言裡，這種排放屬於 Google 的「範疇三類別十一」排放，也就是「已售產品的使用排放」。但這裡存在一個根本性的詭辯：這個模型並不是用戶主動要求購買的產品，而是強制附送的贈品。Google 把強制附送包裝成「用戶使用產品時自然產生的排放」，這種會計歸類手法值得每一位投資人和監管機構仔細檢視。如果強制推送可以被歸類為「用戶使用」，那麼幾乎任何預載軟體的碳排放責任都可以被轉嫁給用戶自身。

不是 Google 獨有的病：整個產業都在犯同一個錯誤

如果這只是一件孤立的醜聞，我們還可以把它當成 Google 的個案。但諷刺之處在於，兩週之前，同一個作者才剛剛揭露了 Anthropic 的 Claude Desktop 在安裝時，會偷偷把一個三百五十個字元的 JSON manifest 寫入七種基於 Chromium 的瀏覽器的設定目錄，包括 Brave、Microsoft Edge、Arc、Vivaldi、Opera 和 Chromium 本身。整個過程同樣不問用戶意見，沒有授權提示，沒有可見通知。

Anthropic 的那個事件規模小得多：大約三百萬用戶，三百五十位元組的 manifest 檔案，主要影響的是瀏覽器的自動化整合設定。Google 這次的規模大得多：十億級設備，4GB 的二進位模型檔案，直接影響的是用戶的硬碟和頻寬。但兩個事件的行為模式幾乎像從同一個標準作業程序複製過來：跨越廠商信任邊界的強制寫入、預設啟用而沒有選擇加入、移除的難度是安裝難度的一百倍、用戶刪除後自動重新安裝、用內部工程術語命名讓一般用戶無法辨識、官方文件不把關鍵資訊放在用戶能看得到的位置。

這兩家公司都有公開的宣傳姿態，強調自己重視 AI 安全、科技倫理、永續發展、以及負責任的創新。但他們的第一個行動，就是把用戶的設備當成自己的免費部署表面，把用戶的硬碟空間當成可以零成本徵用的公共資源。當連「在重大變更前先問用戶」這種最基本的尊重都做不到時，那些關於負責任 AI 的白皮書、新聞稿和學術論文，到底還剩下多少說服力？

本地 AI 模型本身並不一定是壞事。理論上，本地處理可以保護隱私、降低網路延遲、減少對雲端伺服器的依賴，在許多場景下都是合理且有價值的設計。但如果本地模型的代價是大型平台把你的設備當成殖民地來經營，那把 AI 放進每個人的硬碟裡，到底是數位進步還是技術霸凌？這是一把雙面刃，一面切向便利性和效率，另一面切向用戶自主性和信任。

結論：一個對話框就能解決的災難，為什麼不做

研究作者在最後提供了一個簡單到令人憤怒的建議。下次 Chrome 準備針對一個符合條件的用戶設定檔下載這個模型時，在畫面上彈出一個對話框，內容是：「Chrome 希望在你的設備上下載一個 4GB 的 AI 模型檔案，用以支援以下功能：幫我寫作、裝置端詐騙偵測、以及文字摘要。你可以選擇允許下載，或者跳過並稍後決定。」兩個按鈕。就這樣。整件風暴本來可以用一個對話框避免。

更深層的問題在於：當 AI 軍備競賽越演越烈、各大平台對市場份額的焦慮越來越重時，它們的預設行為也變得越來越大膽。4GB 在這個時代確實不算一個驚人的數字，但它是一個清晰的信號。它告訴你：你的硬碟空間、你的網路頻寬、你的電費帳單，在這些平台眼中都是可以免費徵用的公共資源。今天多的是一個模型檔案，明天可能是更大版本的模型、更多背景推論任務、更隱蔽的資料處理流程。

正如作者所說：「如果 Google 下一次 Chrome 更新中，把未經授權的安裝行為默默移除，並且替換成明確的選擇加入機制，我們就知道這家公司還看得懂風向，還在乎用戶的感受和監管環境的變化。如果沒有，我們就知道那些關於負責任 AI 和永續發展的公開宣示，到底值多少錢。」

當你的瀏覽器比你更了解你硬碟裡裝了什麼，而且比你更早決定要裝什麼的時候，問題已經不再是純粹的技術問題，而是權力問題。誰的機器誰做主，這個問題在二零零二年的歐盟法律裡就已經給了明確答案，在今日的 AI 時代裡更是不容妥協的基本前提。真正的問題從來不是沒有法律，而是沒有人執行。