2026 年 5 月 4 日,隐私研究员 Alexander Hanff 发现 Chrome 147
在未经用户同意的情况下,向约 5 亿台设备静默下载了一个 4GB 的二进制文件
weights.bin,这是 Google 的 Gemini Nano
本地模型。文件删除后会自动重新下载。唯一的关闭方式是
chrome://flags 中的隐藏选项。
Google 给出的解释是:本地模型是为了在端侧做推理、保护用户隐私。这个解释有一个显而易见的问题:Chrome 147 同时在地址栏增加了一个「AI Mode」按钮,而这个按钮是混合调用:部分走本地模型,部分走 Google 云端服务器。用户无法知道自己的请求去了哪里。一个声称是为了保护隐私而部署的本地模型,却和一个混合调度的云端功能绑定在一起推出。
但如果我们暂时搁置「Google 在撒谎还是说实话」的判断,换一个角度来问:如果 Google 需要本地模型做一些和隐私保护无关、但对 Google 非常有商业价值的事,这个模型最适合用来做什么?
答案可能比隐私辩解的真假更有信息量。
Google 的核心商业引擎依赖对用户行为的理解。搜索结果排序、广告投放、YouTube 推荐、Chrome 新功能的优先级:所有这些决策背后都需要知道用户到底在做什么、关心什么、遇到了什么问题。
但这个数据采集管道有两个基本瓶颈。
第一个瓶颈是长尾噪声。 用户的大部分操作(快速滚动、点开又关闭、无目的的浏览)信号密度极低。把所有这些原始数据传回云端分析,成本高、延迟大、有用的东西少。真正有价值的行为(比如你在反复修改同一段话、你在对比三个产品、你在某个设置页面停留了很久)散落在大量噪声里,不容易被朴素的规则筛选出来。
第二个瓶颈是隐私合规。 GDPR 和 ePrivacy 指令对原始用户数据的收集和传输设定了严格限制。直接把用户的操作日志、浏览历史、输入内容传回 Google 服务器,在欧洲和其他受监管市场面临越来越高的法律风险。
这两个瓶颈以前是矛盾的:要想筛出高信号数据,就需要传输更多原始数据;传输更多原始数据就踩合规线。用更保守的数据采集策略可以降低法律风险,但数据质量会进一步下降。
在用户设备上放一个 AI 推理引擎,可以同时处理这两件事。
第一,它可以在本地做实时过滤。模型看到你的操作序列,判断哪些是噪声(滚了三屏没停、习惯性点击),哪些是高信号(你开始搜索特定产品、你在反复编辑同一封邮件、你打开了很久没用过的设置页面)。不需要传原始数据,不需要云端参与。
第二,对于被识别为高信号的行为,模型可以在本地完成数据转换。它把你的浏览历史和输入内容变成一组结构化的标签、embedding 向量、意图分类,而不是原始文本。然后把转换后的产物传回云端。
这样一来,两个瓶颈同时被解掉了。长尾噪声被模型在端侧过滤,只有高信号的内容被进一步处理。隐私合规也得到了满足。原始数据从未离开设备。AI 提取后的元数据,在现行法律框架下受到的约束远低于原始数据。
如果上面这个解释成立,本地模型对 Google 来说是一个几乎没有负面成本的业务优化。
法律上。 原始数据被 ePrivacy 和 GDPR 严格保护。AI 提取后的结构化数据受到的保护要弱得多。本地模型在法律意义上扮演了一个完美的数据预处理管道:它让 Google 获取了和直接读取用户数据几乎等价的商业价值,但不用承担等价的合规风险。
数据质量上。 和传统的规则过滤(比如「用户在某个页面停留超过 30 秒就算感兴趣」)不同,本地模型可以理解上下文。它知道你在三个标签页之间反复切换是在对比产品,不是在发呆。它知道你在设置页面的某个选项上停留了 20 秒可能是因为那个选项的位置不合理,不是因为你在认真考虑。这种语义级的过滤精度是硬编码规则无法达到的。
碳排放上。 推理运行在用户设备上,用电量计入用户的电表。Google 的 ESG 报告中看不到这笔排放。Google 2024 年的数据中心用电量同比增加了 27%,完全因为 AI 扩张。在这种增长压力下,任何能够把能耗从 Scope 2(企业采购能源排放)转移到用户端的做法,都有直接的碳报告价值。
成本上。 云端推理的 API 成本和计算资源由 Google 承担。本地推理的电力、内存、存储成本由用户承担。Google 每年省下的 API 成本大约在百万到五百万美元级别。不算大,但这是在零额外成本的前提下获得了一个全新的数据采集管道。
产品叙事上。 「AI Mode」作为一个面向用户的功能,给这套基础设施的存在提供了一个合法的、面向公众的解释框架。用户在 Chrome 里看到 AI Mode 时,不会想到它的存在同时也在服务一个后台的数据处理管道。
我们没有证据证明 Google 在使用 Gemini Nano 做上面描述的这些事情。以上是一个推理,不是一个事实报道。
这个推理成立的前提只有一个:本地模型部署到数亿设备上的行为,需要有一个比「保护隐私」更自洽的商业解释。「保护隐私」的解释在面对以下几点时说服力不足:模型是静默推送的而不是通过用户确认完成的;AI Mode 是混合调用,用户的数据仍然会离开设备;关闭选项被藏在 chrome://flags 而不是 settings 中;模型删除后会自动重装。
一个「本地数据预处理管道」的解释,则能够同时兼容所有这些设计选择。它不需要假设 Google 在撒谎。它只需要假设 Google 给这个本地模型分配了比它公开说的更多的任务。
Anthropic、Microsoft、Adobe 在过去三周内分别做了类似的事(静默部署、难以关闭、自动重装)。它们各自面对的约束不同,不值得在此展开。底层逻辑是:当 AI 模型的推理发生在你的设备上时,你无法直接知道它到底在推理什么。这个不确定性比模型本身的大小更需要被认真对待。
本文由 DeepSeek V4 Pro 写成。感谢 Gemini 3.1 Pro 在碳洗绿和本地模型作为数据预处理管道这两个方向的早期 brainstorm。调研时间:2026-05-08。关键来源:Hanff Chrome 原帖、Hanff Anthropic 报告、PC Gamer、Malwarebytes、Tom’s Hardware、Consumer Reports