Google Chrome instala silenciosamente um modelo de IA de 4 GB no dispositivo sem consentimento

• No perfil de usuário do Chrome, são criados o diretório OptGuideOnDeviceModel e um arquivo weights.bin de cerca de 4 GB, que corresponde ao arquivo de pesos do LLM on-device Gemini Nano
• Recentemente, o Chrome passou a baixar, em dispositivos que atendem aos requisitos de hardware, modelos para recursos de IA como “Help me write” e detecção de fraude on-device, sem prompt de consentimento do usuário nem uma caixa de seleção explícita nas configurações
• Em uma verificação com um perfil novo em Apple Silicon, .fseventsd, Local State do Chrome, ChromeFeatureState e logs do GoogleUpdater mostraram que a criação do diretório do modelo, a descompactação e a movimentação final ocorreram automaticamente ao longo de 14 minutos e 28 segundos em 24 de abril de 2026
• O pill de “AI Mode” do Chrome 147 não usa o modelo Nano on-device; ele é uma interface em nuvem do Search Generative Experience que envia consultas aos servidores do Google, enquanto o Nano é usado em recursos separados como “Help-Me-Write”, sugestões de IA para grupos de abas, smart paste e resumos de página
• A distribuição silenciosa do modelo de 4 GB levanta questões sobre o Artigo 5(3) da Diretiva ePrivacy, os princípios de transparência e minimização por padrão do GDPR e os custos de largura de banda e carbono em termos de ESG; para uma distribuição em 1 bilhão de dispositivos, a estimativa é de 4 EB de tráfego, 240 GWh e 60.000 toneladas de CO2e

Arquivos instalados no disco e modo de funcionamento

• No perfil de usuário do Chrome, são criados o diretório OptGuideOnDeviceModel e o arquivo weights.bin, com cerca de 4 GB; esse arquivo é apresentado como o arquivo de pesos do Gemini Nano, o LLM on-device do Google
• O Chrome usa esse arquivo para “Help me write”, detecção de fraude on-device e outros recursos de navegador assistidos por IA; nas versões recentes do Chrome, quando os recursos de IA estão ativados por padrão, dispositivos que atendem aos requisitos de hardware passam a ser considerados elegíveis para receber essa distribuição
• Durante a instalação, nenhum prompt de consentimento é exibido ao usuário, e também não há nas configurações do Chrome uma caixa de seleção do tipo “baixar modelo de IA de 4 GB”
• Em instalações no Windows, vários relatos independentes registraram que, mesmo após o usuário apagar o arquivo, o Chrome volta a baixá-lo; para bloquear isso de forma persistente, é necessário usar chrome://flags, ferramentas de política corporativa ou remover o Chrome
• No macOS, o arquivo é criado como propriedade do usuário com modo 600, então em princípio pode ser apagado; porém, o Chrome armazena o estado da instalação em Local State e, se o servidor de variations voltar a considerar o perfil elegível, o download é retomado

Verificação em um perfil novo no Apple Silicon

• Ambiente de verificação

  • Em 23 de abril de 2026, foi criado um diretório de dados de usuário do Chrome para auditoria automática, usado em uma auditoria de privacidade do WebSentinel em 100 sites
  • O driver de auditoria, baseado no Chrome DevTools Protocol, realizava carregamento de páginas, espera de 5 minutos, captura de eventos e encerramento do Chrome entre sites; após a criação do perfil, não houve nenhuma entrada humana de teclado ou mouse
  • Nem a interface “AI mode” do Chrome nem a UI do Chrome como um todo foram manipuladas diretamente; o driver de auditoria interagiu apenas com documentos e com o CDP, e não acessou nem mesmo a omnibox
  • Em 29 de abril, durante a limpeza, du -sh confirmou que o perfil de auditoria continha pesos OptGuideOnDeviceModel de cerca de 4 GB

• Linha do tempo da instalação registrada pelo .fseventsd

  • O log de eventos de sistema de arquivos .fseventsd do kernel do macOS registra criação, modificação e exclusão de arquivos de forma independente dos logs da aplicação; Chrome ou Google não podem alterá-lo remotamente, e os arquivos de página de eventos permanecem mesmo após a exclusão dos arquivos referenciados
  • Em 24 de abril de 2026 às 16:38:54 CEST, o Chrome criou o diretório OptGuideOnDeviceModel dentro do perfil de auditoria
  • Em 24 de abril de 2026 às 16:47:22 CEST, foram criados três diretórios temporários em /private/var/folders/.../com.google.Chrome.chrome_chrome_Unpacker_BeginUnzipping.*/, e um deles registrou weights.bin, manifest.json, _metadata/verified_contents.json e on_device_model_execution_config.pb
  • No mesmo momento, outro processo de descompactação registrou uma atualização da Certificate Revocation List e uma atualização de preload-data do navegador, sugerindo que atualizações de segurança, atualização de preload e o modelo de IA de 4 GB foram processados em lote na mesma janela ociosa
  • Em 24 de abril de 2026 às 16:53:22 CEST, o weights.bin descompactado foi movido para OptGuideOnDeviceModel/2025.8.8.1141/weights.bin; adapter_cache.bin, encoder_cache.bin, _metadata/verified_contents.json e a configuração de execução também foram colocados ali
  • Ao mesmo tempo, os modelos-alvo de números 40, 49, 51 e 59 do enum optimization-guide do Chrome foram registrados como novos em optimization_guide_model_store; eles são apresentados como modelos menores de segurança de texto e roteamento de prompt usados junto com o LLM
  • O tempo total de instalação, da criação do diretório até a movimentação final, foi de 14 minutos e 28 segundos, e durante esse período não houve manipulação humana do perfil

• Rastros do próprio Chrome e logs do GoogleUpdater

  • No JSON Local State do perfil de auditoria do Chrome, existe um bloco optimization_guide.on_device, no qual model_validation_result registra attempt_count: 1, result: 2, component_version: "2025.8.8.1141"
  • O mesmo bloco inclui performance_class: 6 e vram_mb: "36864", o que é apresentado como evidência de que o Chrome lê a GPU e a quantidade total de memória unificada para decidir se o dispositivo é elegível para receber o modelo antes de expor recursos de IA ao usuário
  • Em ChromeFeatureState do perfil de auditoria, OnDeviceModelBackgroundDownload<OnDeviceModelBackgroundDownload e ShowOnDeviceAiSettings<OnDeviceModelBackgroundDownload aparecem no bloco enable-features
  • O primeiro flag é apresentado como o gatilho do download silencioso, e o segundo como o responsável por expor a seção de IA on-device em chrome://settings; como ambos estão vinculados ao mesmo flag de rollout, a interpretação é que a instalação começa antes de haver uma oportunidade de recusa pela UI de configurações
  • Os logs do GoogleUpdater registram que o componente de controle do modelo on-device, com appid {44fc7fe2-65ce-487c-93f4-edee46eeaaab}, foi baixado de http://edgedl.me.gvt1.com/edgedl/diffgen-puffin/...; esse arquivo de controle compactado de 7 MB chegou em 20 de abril de 2026, três dias antes da criação do perfil de auditoria
  • Esse componente de controle é independente do perfil e iniciado automaticamente por um LaunchAgent executado a cada hora; a URL de transferência usa HTTP, mas a integridade é verificada pela assinatura CRX-3 dentro do pacote
  • O componente de controle fornece ao Chrome o manifesto que aponta para os pesos reais, e uma rota de código interna do Chrome separada do GoogleUpdater, OnDeviceModelComponentInstaller, busca diretamente os pesos de vários GB na CDN do Google

• Escala e relatos anteriores

  • Relatos da comunidade sobre o diretório OptGuideOnDeviceModel e o arquivo weights.bin já circulam há mais de um ano, mas em 2026 a escala e a possibilidade de verificação são diferentes
  • A participação global de mercado do Chrome é apresentada como superior a 64%, e o número estimado de usuários do Chrome em 2026 varia de 3,45 a 3,83 bilhões, dependendo da fonte
  • Com os recursos do Gemini entrando de forma mais agressiva no Chrome, esse comportamento deixou de ser um problema que afeta apenas um pequeno grupo de usuários avançados ou algumas plataformas, passando a impactar centenas de milhões de dispositivos em todos os sistemas operacionais de desktop compatíveis com o Chrome

Padrão semelhante ao caso da Anthropic

• Empacotamento forçado fora da fronteira de confiança

  • No caso da Anthropic, após a instalação do Claude Desktop, configurações de Native Messaging foram gravadas em Brave, Edge, Arc, Vivaldi, Opera e Chromium; no caso do Chrome, o Chrome grava um modelo de IA de 4 GB no perfil do usuário
  • weights.bin é classificado não como parte do próprio Chrome, mas como um modelo de machine learning separado, com finalidade distinta, perfil de proteção de dados distinto e escopo de consentimento distinto

• Padrões invisíveis e ausência de opt-in

  • Não há caixa de diálogo na primeira execução nem caixa de seleção nas configurações, e o fluxo é tal que o usuário só descobre o modelo depois que o disco já começou a encher

• Remover é mais difícil do que instalar

  • Para adicionar os arquivos não é necessário clique algum, mas para removê-los é preciso descobrir que eles existem, entender o que significam e acessar um caminho oculto do perfil de usuário para apagá-los
  • No Windows, é indicado que primeiro é preciso desativar o atributo somente leitura e, mesmo após a exclusão, se os recursos de IA do Chrome não forem desativados, o conteúdo pode ser baixado novamente no próximo momento elegível

• Pré-posicionamento de um recurso não solicitado

  • O modelo Nano é pré-posicionado no disco para execução imediata quando o usuário chamar um recurso de IA, mas ocupa 4 GB mesmo que o usuário nunca chame esse recurso

• Escopo obscurecido por nomenclatura interna genérica

  • OptGuideOnDeviceModel é um termo interno do Chrome para “OptimizationGuide on-device model storage”, e é difícil para um usuário comum associá-lo a “Gemini Nano LLM weights”
  • Um nome mais preciso seria algo próximo de GeminiNanoLLM/weights.bin, mas o Google é criticado por ter escolhido a terminologia interna

• Registro de recursos que o usuário não configurou

  • Usuários que nunca abriram recursos de IA do Chrome também recebem o modelo, e usuários que abriram uma vez e decidiram que não tinham interesse também podem recebê-lo
  • A presença do arquivo está dissociada do uso real desse recurso

• Falta de documentação e reinstalação automática

  • A documentação do Google sobre os recursos de IA do Chrome voltada ao usuário não informa esse custo em um nível proporcional ao download silencioso de 4 GB
  • Se o usuário apagar o arquivo, o Chrome o cria novamente, e a exclusão pelo usuário é tratada não como uma instrução que deve ser respeitada, mas como um estado temporário a ser corrigido

• Limites de um consentimento retroativo no futuro

  • Mesmo que o Google mais tarde pergunte “você quer baixar um modelo de IA de 4 GB?”, isso não pode legitimar retroativamente a instalação silenciosa já ocorrida em centenas de milhões de dispositivos
  • Esse comportamento não foi distribuído por uma build de teste, mas por uma ação assinada em código distribuída pelo canal normal de lançamento do Chrome stable

Separação entre a pill “AI Mode” e o modelo on-device

• Quando o Chrome 147 é executado em um perfil elegível, uma pill “AI Mode” é exibida à direita da omnibox
• Nesse contexto, em que o Chrome tem um LLM on-device e um binário Gemini Nano de 4 GB já foi instalado no disco, o usuário pode inferir que esse “AI Mode” usa o modelo local e que as consultas permanecem no dispositivo
• No entanto, a pill AI Mode da omnibox no Chrome 147 é uma superfície em nuvem do Search Generative Experience, e as consultas inseridas pelo usuário são enviadas aos servidores do Google e processadas nos modelos hospedados pelo Google
• O modelo Nano on-device não é chamado no fluxo de UI do AI Mode, sendo usado em recursos separados como a funcionalidade <textarea> do “Help-Me-Write”, sugestões de IA para grupos de abas, smart paste e resumo de páginas
• O usuário arca com os 4 GB de espaço em disco e com o custo de largura de banda do download silencioso, mas a experiência de IA mais visível não oferece vantagem on-device e é roteada para os servidores do Google
• Essa estrutura pode passar ao usuário uma impressão próxima de “IA local”, mas na prática o Google apenas posicionou no dispositivo do usuário um recurso que poderá ser chamado futuramente por outros subsistemas do Chrome sem ida e volta ao servidor
• Pelos critérios de padrões de design enganosos das EDPB Guidelines 03/2022, avalia-se que o “AI Mode” se enquadra em misleading information por não deixar claro onde ocorre o processamento, em skipping por não oferecer ao usuário um momento de escolha entre uma superfície exclusivamente local e uma baseada em nuvem, e em hindering porque o AI Mode e a remoção da instalação on-device são controles separados, difíceis de descobrir e desativar

Questões jurídicas no EEE e no Reino Unido

• O Artigo 5(3) da Diretiva ePrivacy exige consentimento prévio, livre, específico, suficientemente explicado e inequívoco do usuário para armazenar informações no equipamento terminal do usuário ou acessar informações já armazenadas, salvo quando isso for estritamente necessário para fornecer um serviço da sociedade da informação explicitamente solicitado pelo usuário
• O arquivo de pesos Gemini Nano de 4 GB constitui informação armazenada no equipamento terminal do usuário; como o usuário não consentiu, o Chrome funciona sem esse arquivo e o usuário não solicitou um serviço que exija estritamente um LLM on-device de 4 GB, isso é avaliado como violação do Artigo 5(3)
• O Artigo 5(1) e o Artigo 25 do GDPR exigem, respectivamente, os princípios de licitude, justiça e transparência, e a proteção de dados desde a concepção
• Se o hardware do usuário é perfilado para determinar elegibilidade ao envio do modelo, se o evento de instalação é registrado nos servidores do Google e se os recursos on-device podem processar prompts do usuário, então o usuário deve ser informado em linguagem clara sobre o que está acontecendo
• Pré-posicionar um modelo de IA de 4 GB apenas com base na possibilidade de o usuário vir a chamar um recurso de IA no futuro é avaliado como uma arquitetura contrária à minimização por padrão
• A mesma análise se aplica ao UK GDPR e ao Privacy and Electronic Communications Regulations 2003, e, no California Consumer Privacy Act, a ausência de aviso no momento da coleta para essa categoria específica de software pré-posicionado levanta dúvidas sobre a postura de notificação sob a CCPA
• Também se levanta a possibilidade de violação de leis penais relacionadas a uso indevido de computadores em vários países

ESG e custos climáticos

• Método de cálculo

  • O caso do Chrome é uma distribuição que empurra um binário de 4 GB para centenas de milhões de dispositivos, de modo que, ao contrário da instalação do manifesto JSON de 350 bytes do Claude Desktop, os custos de largura de banda e energia são mensuráveis
  • A intensidade energética da transmissão de dados em rede foi calculada com o valor intermediário de 0,06 kWh/GB dentro da faixa de 0,04~0,10 kWh/GB de Pärssinen et al. 2018
  • Para o fator de emissão da rede elétrica, foi usado 0,25 kg CO2e/kWh, o fator composto de fornecimento de eletricidade da UE-27 para relatórios de 2024 da European Environment Agency e da IEA

• Custo de um push do Nano por dispositivo

  • A largura de banda é calculada como 4 GB
  • A energia é calculada como 4 × 0.06 = 0.24kWh per device per push
  • O CO2 é calculado como 0.24 × 0.25 = 0.06kg CO2e per device per push
  • Esse valor inclui apenas um único download do modelo e não inclui novo download após exclusão, atualizações posteriores do modelo nem a energia real de inferência on-device

• Custo total por escala de distribuição

  • O Google não divulga o número de dispositivos que recebem o push do Nano, e o Chrome determina a elegibilidade com a performance_class de hardware calculada com base em CPU, GPU, RAM do sistema e VRAM disponível
  • Se 100 milhões de dispositivos receberem, o total calculado é de 400 PB, 24 GWh e 6.000 toneladas de CO2e
  • Se 500 milhões de dispositivos receberem, o total calculado é de 2 EB, 120 GWh e 30.000 toneladas de CO2e
  • Se 1 bilhão de dispositivos receber, o total calculado é de 4 EB, 240 GWh e 60.000 toneladas de CO2e
  • 24 GWh correspondem ao uso anual de eletricidade de cerca de 7.000 residências médias no Reino Unido, 120 GWh a cerca de 36.000 e 240 GWh a cerca de 72.000
  • 6.000 toneladas de CO2e são comparadas às emissões anuais de cerca de 1.300 carros de passeio médios da UE; 30.000 toneladas, a cerca de 6.500 carros ou aproximadamente 8.000 passageiros em voos de ida e volta Londres-Sydney em classe econômica; e 60.000 toneladas, às emissões anuais de cerca de 13.000 carros

• Custos adicionais não incluídos

  • O custo de armazenamento em disco de 4GB × N, ocupado continuamente nos dispositivos dos usuários, não está incluído
  • O custo de carbono incorporado dos SSDs é apresentado em Tannu and Nair 2023 como cerca de 0,16 kg CO2e/GB NAND, e 1 bilhão de dispositivos × 4 GB equivale ao cálculo de cerca de 640.000 toneladas de CO2e em SSD incorporado sendo alocadas a um uso para o qual os usuários não consentiram
  • Também não está incluída a energia de inferência on-device quando o Nano é realmente chamado, e se a escala de usuários diários do Chrome for de 2 bilhões de pessoas, mesmo um pequeno custo per-inference deixa de ser pequeno
  • Se o usuário tentar apagar os arquivos e ocorrer novo download, a cada vez serão adicionados 4GB × 0.06kWh × 0.25kg = 0.06kg CO2e por dispositivo
  • O Gemini Nano não é um artefato de uso único, mas um modelo com atualizações periódicas de pesos, portanto o mesmo cálculo se repete a cada atualização

• O problema do próprio custo de largura de banda

  • O custo de rede de uma carga indesejada de 4 GB é arcado por ISPs, operadoras móveis, usuários com conexão tarifada por consumo e pela infraestrutura de rede
  • Segundo a referência de Pärssinen, cerca de 50% da energia de entrega está na rede de acesso e na borda do CDN, cerca de 30% no equipamento do lado do usuário, como roteadores, modems e NICs, e o restante na rede principal
  • Para usuários com planos móveis cobrados por franquia de dados, especialmente em regiões onde o smartphone é o único meio de acesso à internet, um download indesejado de 4 GB pode se aproximar da franquia mensal de dados
  • Planos móveis de dados 4G e 5G também são usados em dispositivos desktop em lares sem acesso a fibra, cabo ou ADSL, portanto a objeção de que “não é enviado para dispositivos móveis” por si só não é suficiente

O que o Google deveria ter feito

• Quando o Chrome tentasse baixar o modelo Nano pela primeira vez, deveria exibir uma caixa de diálogo clara dizendo: “O Chrome quer baixar um arquivo de modelo de IA de 4 GB para o seu dispositivo para os recursos a seguir. Permitir ou decidir depois.”
• Deveria ter sido projetado em modo pull, para que o download ocorresse quando o usuário chamasse o recurso de IA pela primeira vez, usando a própria chamada do recurso como evento de consentimento
• Em chrome://settings/, deveria mostrar os arquivos de modelo de IA baixados pelo Chrome, seu tamanho, os recursos executados por cada modelo e um botão “Remove and stop downloading” para cada modelo, com remoção persistente
• Deveria informar em linguagem simples, na descrição do Chrome na Microsoft Store, no instalador do Chrome e na página de download do Google Chrome, que pode baixar arquivos adicionais de modelo de tamanho considerável em hardwares compatíveis
• Se o usuário apagar weights.bin, ele não deveria ser recriado, e o aplicativo não deveria sobrepor a forte preferência do usuário sobre o que deve estar em disco
• No relatório anual de ESG do Google, deveria divulgar por região a largura de banda total e a pegada de carbono dos modelos de recursos de IA enviados aos dispositivos dos usuários e contabilizá-los como emissões de Scope 3 Category 11 no contexto da CSRD
• Usuários que já receberam o modelo sem consentimento deveriam ser informados no próximo início do Chrome sobre o que aconteceu, poder verificar a localização dos arquivos e fazer a revogação e remoção com um único clique

Ponto central da conclusão

• Tanto a instalação do manifesto do Anthropic Claude Desktop quanto o push do Google Chrome Gemini Nano foram decisões que trataram o dispositivo do usuário não como um aparelho pessoal controlado pelo proprietário, mas como uma superfície de distribuição para o roadmap de produto do fornecedor
• O caso da Anthropic é apresentado como a colocação prévia de permissões de automação de navegador em cerca de 3 milhões de dispositivos de usuários do Claude Desktop, e o caso do Google como a colocação de pesos de IA de 4 GB em cerca de 500 milhões de dispositivos de usuários do Chrome com base na estimativa intermediária
• As duas empresas enfatizam segurança, ética e IA responsável, mas o comportamento documentado de instalação silenciosa enfraquece o consentimento básico que sustenta a legitimidade dessas posições
• O fato de serem bytes de IA não os torna exceção às leis aplicadas a outros bytes gravados sem permissão no dispositivo do usuário, nem o fato de serem “pequenos” em relação ao disco do usuário faz com que a pegada de carbono acumulada deixe de ser um dano climático real e mensurável
• Se a próxima atualização do Chrome remover a instalação sem consentimento e mudar para opt-in explícito é apresentado como o critério para julgar a posição do Google sobre IA responsável e sustentabilidade