你的 Chrome 正在偷偷下載 4GB 的 AI 模型——而且刪不掉

標題：你的 Chrome 正在偷偷下載 4GB 的 AI 模型——而且刪不掉

上週你打開電腦，發現「儲存空間不足」的通知跳了出來。你查看硬碟，卻找不到哪個檔案在搞鬼。不是影片，不是照片，不是工作文件——而是你每天用的瀏覽器，在你不知情的當下，已經默默下載了一個 4GB 的 AI 模型，佔據了你 SSD 上寶貴的空間。

這不是都市傳說。這是安全研究員在 2026 年 4 月揭露的真實事件，隨後由 That Privacy Guy 的技術團隊以 macOS 內核文件系統事件日誌完整驗證。他們甚至建立了一個全新的測試設定檔——沒有人類操作，沒有點擊任何 AI 功能按鈕——結果 Chrome 依然在 14 分鐘內完成了 4GB 模型的下載。

4GB 的檔案是怎麼進到你電腦的？

故事從 Google Chrome 的「裝置端 AI」功能說起。從 Chrome 最近的版本開始，Google 開始在符合硬體條件的裝置上，自動下載 Gemini Nano 的模型權重檔案——也就是那個名為 weights.bin、體積約 4GB 的巨大檔案。

研究團隊建立了一個全新的 Chrome 用戶資料夾，然後讓一個自動化測試程式運作。這個程式只透過 Chrome DevTools Protocol 載入網頁，每頁停留五分鐘，期間沒有任何人類操作——沒有打字，沒有點擊，沒有開啟任何 AI 功能。

結果呢？

從 Chrome 建立目錄到模型下載完成，總共只花了 14 分 28 秒。期間沒有任何同意提示，沒有任何設定選項或對話框。Chrome 僅僅透過判斷你的硬體規格——讀取 GPU 資訊、檢查統一記憶體總量——就自行決定你「符合資格」，然後下載了這 4GB 的資料。

macOS .fseventsd 日誌抓到的完整流程

研究人員利用 macOS 底層的文件系統事件記錄（.fseventsd），重建了 Chrome 的完整行為流程。.fseventsd 是 macOS 內核層級的功能，記錄每一個檔案的建立、修改和刪除——Chrome 無法編輯它，Google 無法遠端觸及它，甚至目標檔案被刪除後記錄依然存在。

時間軸如下：

1. 2026 年 4 月 24 日 14:38:54 UTC：Chrome 在測試設定檔中建立 OptGuideOnDeviceModel 目錄。此時使用者完全沒有進行任何操作——自動化測試程式正在載入一個第三方網站。
2. 2026 年 4 月 24 日 14:47:22 UTC：Chrome 啟動三個並行的解壓縮子程序。其中一個（名為 5xzqPo）寫入了 weights.bin、manifest.json、_metadata/verified_contents.json 和 on_device_model_execution_config.pb。另外兩個子程序則分別處理了憑證吊銷清單更新和瀏覽器預載資料更新——Chrome 將一個安全更新、一個預載資料更新和一個 4GB 的 AI 模型，通通塞進了同一個閒置時間窗口。
3. 2026 年 4 月 24 日 14:53:22 UTC：解壓縮後的 weights.bin 被移動到最終位置 OptGuideOnDeviceModel/2025.8.8.1141/weights.bin。同時還有四個額外模型目標（在 Chrome 最佳化指南列舉中編號為 40、49、51、59）註冊了新的條目——這些是與 LLM 搭配的文字安全檢查和提示路由模型。在這一刻之前，這些目標在設定檔中完全不存在。

更重要的是那個臨時目錄的名稱：com.google.Chrome.chrome_chrome_Unpacker_BeginUnzipping.5xzqPo。前綴 com.google.Chrome.chrome_chrome_* 明確顯示：寫入這個 4GB 檔案的並非 Google Updater 或 Google Software Update 工具，而是 Chrome 瀏覽器程序本身——你信任來載入網頁的那個瀏覽器，在背景自主決定寫入一個 4GB 的機器學習模型，而前景的分頁正在做完全不相干的事。

四重交叉驗證：證據確鑿

研究團隊找到了四組互相獨立的證據，全部指向同一結論：

Kuketz 直言：「Chrome 讀取了我的 GPU，讀取了我的統一記憶體總量，然後決定我是否符合模型推送的資格——在使用者看到任何 AI 功能之前。」

Anthropic 事件的重演，但規模大得多

如果你還記得 2025 年底發生的 Claude Desktop 新聞——Anthropic 在使用者啟動 Claude Desktop 時，未經同意就向七個不同的 Chromium 瀏覽器註冊了 Native Messaging 橋接——那麼你現在看到的，是同一個範本的 Google 版本。

研究人員整理出兩者共通的 10 個暗模式特徵：

1. 跨信任邊界的強制綁定：Anthropic 裝了 Claude Desktop 就寫入 Brave、Edge、Arc 等瀏覽器；Google 裝了 Chrome 就寫入 4GB AI 模型。這些都不是瀏覽器本身的元件，而是獨立訓練的機器學習模型。
2. 看不見的預設值，沒有選擇加入：沒有任何對話框，沒有任何設定選項。「下載一個 4GB 的 AI 模型」並不在 Chrome 的任何設定頁面中。
3. 移除比安裝更難：安裝不用任何點擊，移除卻要找到隱藏路徑、刪除檔案、還要另外關閉 Chrome 的 AI 功能才能防止重新下載——而這些步驟在 Chrome 的一般文件裡完全找不到。
4. 預先部署使用者沒要求的功能：模型早就放在硬碟上，等著使用者「哪天可能會用」——但使用者從來沒說過要。
5. 用模糊名稱隱藏真實用途：「OptGuideOnDeviceModel」完全看不出是 Gemini Nano 的 LLM 權重。如果 Google 想誠實命名，它應該叫「GeminiNanoLLM」。
6. 與使用者實際使用脫鉤：沒開過 AI 功能的使用者照樣拿到模型；開過一次但決定不用的使用者照樣留著模型。
7. 文件缺口：Google 的使用者文件從未以與 4GB 下載相匹配的顯著程度告知這件事。有經驗的管理員可能找得到相關說明，但一般使用者在安裝 Chrome 之前，完全無從得知這個行為。
8. 每次啟動自動重新安裝：刪掉檔案，Chrome 會重新下載。使用者的刪除被視為暫時狀態，而非指令。多位 Windows 使用者在社群論壇記錄了這個循環——刪除、重新下載、再刪除、再重新下載。
9. 溯及既往的同意問題：即使 Google 未來開始詢問使用者「你要下載 4GB 的 AI 模型嗎？」，也無法溯及既往地正當化已經發生在數億裝置上的強制安裝。信任關係的傷害已經造成。
10. 通過正常發布渠道的正式簽章：這不是測試版的行為，這是 Chrome 穩定版的行為。

最諷刺的轉折：AI Mode 按鈕不跑本地模型

Chrome 147 版本在網址列右側新增了一個「AI Mode」按鈕。對於那些發現硬碟上已經有 4GB 模型的使用者來說，這個按鈕看起來很合理——「喔，原來 Chrome 已經下載了本機 AI 模型，所以這個 AI Mode 是用本機運算的」。

完全錯誤。 Chrome 147 的「AI Mode」按鈕實際上是一個雲端搜尋生成體驗（Search Generative Experience）——使用者在裡面輸入的每一個查詢，都會被送到 Google 的伺服器，由 Google 的雲端模型處理。那個被偷偷下載的 Gemini Nano 模型根本不會被這個按鈕調用。

也就是說：你被強迫安裝了一個 4GB 的模型，佔據了你的硬碟空間，但瀏覽器最顯眼的 AI 功能卻完全不使用它。

真正使用本機模型的，反而是那些不那麼顯眼的功能：文字框內的「幫我寫」（Help Me Write）、分頁群組的 AI 建議、智慧貼上、頁面摘要——這些才是真正在裝置上跑的功能。但它們的使用頻率和曝光度，遠不如那個雲端驅動的 AI Mode 按鈕。一位看到這個揭露的開發者在 HackerNews 上評論：「他們把本機模型當作藉口，讓你接受雲端搜尋功能，但實際上兩者完全無關。」

環境成本：不只是隱私問題，更是氣候問題

這是這篇報告最令人不安的部分。

Chrome 的全球市佔率穩定維持在 64% 以上，使用者基數在 34.5 億到 38.3 億人之間。將一個 4GB 模型推送到這些裝置上的環境成本，根據保守估算，在 六千到六萬噸 CO₂ 當量排放 之間。

這個數字是什麼概念？根據國際能源署（IEA）的公開統計，全球資料中心的年碳排放量約在 2 億噸左右。這一次單方面的模型推送——未經任何使用者同意——所產生的碳排放，已經相當於一座中型資料中心運行數週的排放量。而這只是為了讓 Google 的 AI 功能可以「瞬間啟動」。

研究人員指出，在歐盟企業永續報告指令（CSRD）的框架下，這種規模的環境影響已經達到需要通報的門檻。換句話說，如果 Google 是一家需要遵守 CSRD 的公司，一次未經同意的 4GB 模型推送就是一筆需要揭露的環境事件。這還不考慮數億台裝置在重新安裝時，一再消耗的頻寬和電力——每一次刪除、每一次重新下載，都是對地球資源的重複消耗。

從法律角度看：侵犯了哪些權利？

That Privacy Guy 的分析指出，這種行為至少違反了三項歐盟法律：

1. 電子隱私指令（ePrivacy Directive）第 5(3) 條：要求在終端裝置上儲存或存取資訊前，必須取得使用者同意。4GB 模型的寫入顯然屬於這個範疇。
2. GDPR 第 5(1) 條：違反了資料處理的合法性、公正性和透明性原則。
3. GDPR 第 25 條：違反了資料保護設計義務——也就是產品設計時就必須納入資料保護考量，而非事後補救。

當然，這些法規主要適用於歐盟。對台灣使用者來說，直接的法律影響可能有限——但這並不代表這件事與你無關。它揭示了大型科技公司在看待使用者裝置時的態度轉變：你的硬碟、你的頻寬、你的電費，都被視為他們值得佔用的部署資源。

如何檢查你的 Chrome 是否也被裝了？

想知道你的電腦是不是受害者？這裡有三種檢查方式：

macOS 使用者

打開終端機，輸入：

du -sh ~/Library/Application\ Support/Google/Chrome/**/OptGuideOnDeviceModel/ 2>/dev/null

如果看到類似「3.9G」或「4.0G」的結果，就是已經被安裝。

Windows 使用者

打開檔案總管，導航到：

%LOCALAPPDATA%\Google\Chrome\User Data\Default\OptGuideOnDeviceModel\

看看裡面有沒有 weights.bin 檔案。需要注意的是，Windows 上這個檔案可能被設定為唯讀屬性，直接刪除前需要先解除唯讀設定。

雙系統通用方法

在 Chrome 網址列輸入 chrome://version/，查看「個人資料路徑」（Profile Path）那一行，然後到那個路徑下找 OptGuideOnDeviceModel 目錄。

如果你想移除它（以及如何防止復發）

由於 Chrome 會在被刪除後自動重新下載，單純刪除檔案是不夠的。以下是完整的處理流程：

第一步：關閉 Chrome 的 AI 功能（關鍵步驟）

在 Chrome 網址列輸入 chrome://flags，在搜尋框中輸入「AI」，將所有相關的實驗功能設為「Disabled」。特別是以下幾個項目：
– Optimization Guide On Device Model
– Enable AI features
– 任何與「On-Device AI」或「Gemini Nano」相關的旗標

第二步：刪除已下載的模型檔案

關閉旗標並重新啟動 Chrome 後，導航到上述路徑刪除 OptGuideOnDeviceModel 目錄。

第三步（進階）：使用權限封鎖

如果之前的步驟仍無法阻止重新下載，可以在 Windows 上將 OptGuideOnDeviceModel 目錄的寫入權限設為唯讀，這樣 Chrome 就無法覆蓋或重新建立該目錄。

最後手段

如果以上所有方法都無法阻止，而你又非常在意這件事——考慮更換瀏覽器。Firefox 和 Brave 都提供了類似的瀏覽體驗，但不會在你不知情時下載 4GB 的檔案。

不只是隱私問題，更是權利問題

把這件事放在更大的脈絡來看——這不僅僅是 4GB 容量的問題，也不只是隱私問題。這反映了一個更深層的權力不對等：

科技公司越來越傾向於將使用者的裝置視為自己的部署基礎設施。你的 SSD，是他們分配模型的位置。你的頻寬，是他們推送更新的管道。你的電費，是他們維持服務的成本。而你不僅沒有同意權，連事後選擇退出的路徑都充滿障礙。

更令人憂心的是，這種行為已經從少數技術觀察者的零星報告，演變為經過完整驗證的系統性行為。從 2025 年零星的使用者論壇投訴，到 2026 年有 macOS 內核級別的四重交叉驗證——一年之間，這個現象從「可能只是少數案例」變成了「經過嚴謹方法論證明的事實」。而 Chrome 在這段時間內的市佔率，只增不減。

如果你是一位開發者或系統管理員，這件事還有更深一層的啟示：當我們在設計產品時，是否也曾不經意地用同樣的心態對待使用者？「反正對使用者比較好，就先推再說」——這種思維在產品團隊裡太常見了。但技術圈已經用多次事件告訴我們：未經同意的好意，本質上仍是侵犯。

對開發者社群來說，這次揭露提供了一個具體的案例反思機會：當我們在討論「AI 時代的隱私」時，我們討論的不只是「我的對話紀錄會不會被拿去訓練」，還有「我的硬碟空間還是不是我自己的」。如果你的瀏覽器可以在你不知情時寫入 4GB 的資料，那麼還有什麼是它不會做的？

從隱私律師到系統管理員，從普通使用者到開發者——這件事情的影響面遠比表面上看起來的更廣。不是每一件不合法的事情都會馬上被糾正，但至少，我們可以不要假裝它沒有發生。而最直接的決定權，就在你的下一台電腦、下一次瀏覽器選擇、下一行產品程式碼裡。