Google Chrome tiše stahuje 4GB AI model Gemini Nano

Google Chrome začal automaticky stahovat a instalovat na koncová zařízení uživatelů soubor s váhami modelu umělé inteligence Gemini Nano o velikosti čtyř gigabajtů. Celý proces probíhá bez předchozího upozornění, bez možnosti odmítnutí a bez jakéhokoli souhlasu uživatele. Upozornil na to bezpečnostní analytik Alexander Hanff ve své analýze publikované na blogu That Privacy Guy.

Jde o potenciální porušení GDPR i směrnice ePrivacy přímo ve standardním firemním prohlížeči.

Skrytý čtyřgigabajtový lord v uživatelském profilu

Konkrétně se jedná o soubor „weights.bin“, který Chrome ukládá do adresáře „OptGuideOnDeviceModel“ v profilu uživatele. Celý proces stahování a vytvoření potřebné adresářové struktury trvá přibližně 14 minut. Dotčené jsou platformy Windows a macOS, které splňují stanovené technické požadavky.

Pokud uživatel soubor ručně smaže, Chrome ho bez jakéhokoli upozornění opět automaticky stáhne. Jediná cesta, jak toto chování trvale zastavit, vede přes interní příznaky (flags) v nastavení prohlížeče, nebo prostřednictvím nástrojů pro správu podnikových politik – tedy Group Policy nebo obdobných řídících mechanismů. Pro IT administrátory ve firemním prostředí to znamená nutnost aktivně zasáhnout, pokud chtějí mít tento aspekt chování prohlížeče pod kontrolou.

Zajímavé je, že stažený čtyřgigabajtový model vůbec neslouží hlavní AI funkci, která se od verze 147 nově zobrazuje v adresním řádku Chromu. Ta totiž zpracovává požadavky na cloudových serverech Googlu. Model Gemini Nano běžící lokálně na zařízení slouží pouze k podpůrným funkcím zaměřeným na asistenci při psaní textu.

Porušení ePrivacy a GDPR

Alexander Hanff dává tuto praxi do přímé souvislosti s podobným chováním, které dříve identifikoval u desktopového softwaru společnosti Anthropic. Společné znaky zahrnují aktivaci nevyžádaných funkcí, záměrné používání generických názvů adresářů s cílem zakrýt skutečný obsah souborů a opakované obnovení dat i po jejich smazání uživatelem.

Z právního hlediska je postup Googlu v rozporu s evropskou směrnicí ePrivacy, která ukládání dat na zařízení uživatelů bez jejich předchozího souhlasu výslovně zakazuje. Zároveň jde o porušení principů transparentnosti vyžadovaných obecným nařízením o ochraně osobních údajů – GDPR. Pro firmy operující v České republice a v celé EU to má přímé compliance implikace: pokud Chrome běží na firemních zařízeních, stahuje data bez vědomí organizace, a ta za stav svých endpointů nese odpovědnost.

Problém se dotýká i uživatelů s omezenými datovými tarify nebo mobilním připojením, jimž se objem dostupných dat nevratně spotřebovává na pozadí, zcela bez jejich vědomí.

Zdroj: thatprivacyguy.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI