Google Chrome silently installs a 4 GB AI model on your device

두 주 전 저는 Claude Desktop 이 설치된 모든 컴퓨터에서 Anthropic 이 Chromium 기반 브라우저 7 개에 Native Messaging 브릿지를 무관심하게 등록했다는 글을 썼습니다 [1]. 패턴은 다음과 같습니다: 제품 A 를 사용자 실행 시 설치하고, 사용자의 제품 B, C, D, E, F, G, H 설치에 설정을 작성하며 요청 없이. 제조사 신뢰 경계를 넘나듭니다. 동의 대화창 없음. 선택 거부 UI 없음. 사용자가 수동으로 제거하면 Claude Desktop 이 실행될 때마다 다시 설치됩니다.

이번 주에는 Google 가 동일한 패턴을 발견했습니다. Google Chrome 는 사용자 컴퓨터에 접근하여 요청 없이 4 GB 의 온디바이스 AI 모델 파일을 디스크에 작성합니다. 파일명은 weights.bin 입니다. 위치는 OptGuideOnDeviceModel 입니다. 이는 Gemini Nano 의 권중입니다, Google 의 온디바이스 LLM 입니다. Chrome 는 요청하지 않았습니다. Chrome 는 이를 표시하지 않습니다. 사용자가 삭제하면 Chrome 은 다시 다운로드합니다.

법적 분석은 Anthropic 사례에 제가 준 것과 같습니다. 환경 분석은 새로운 것입니다. Chrome 의 규모에서, 한 모델 푸시의 기후 비용은 전 세계 대기 중 CO2 로 지불되며, 6 천 톤에서 6 만 톤 사이의 CO2 동등 배출량입니다. 이는 두십억 명의 기본 브라우저가 4 GB 바이너리를 무관심하게 배포한다는 결정이 한 회사에 의한 환경 비용입니다.

이는 제 전문적 의견에 따르면, Directive 2002/58/EC (ePrivacy Directive) 의 Article 5(3) 를 위반하고 [2], GDPR 의 Article 5(1) 법의무성, 공평성 및 투명성 원칙을 위반하고 [3], GDPR 의 Article 25 데이터 보호 설계 의무를 위반하고 [3], 그리고 Corporate Sustainability Reporting Directive (CSRD) 에 따라 신고 가능한 사건이 될 수 있는 규모의 환경 피해를 입힙니다.

디스크에 무엇이 있고 어떻게 그곳에 왔는가

Chrome 가 설치된 모든 컴퓨터에서, 사용자 프로필에는 OptGuideOnDeviceModel 이라는 이름의 디렉터리가 있습니다. 그 안에는 weights.bin 이라는 파일이 있습니다. 파일은 약 4 GB 입니다. 이는 Gemini Nano 의 권중 파일입니다. Chrome 는 이를 "Help me write", 온디바이스 사기 탐지, 기타 AI 보조 브라우저 기능과 같은 Google 가 마케팅한 기능들을 위한 것입니다.

사용자의 동의 없이 파일이 나타났습니다. 크롬 설정에 "4GB AI 모델 다운로드"라는 라벨을 가진 체크박스는 없습니다. 크롬의 AI 기능이 활성화될 때 다운로드가 트리거되며, 최근 크롬 버전에서는 이러한 기능이 기본으로 활성화되어 있습니다. 하드웨어 요구 사항을 충족하는 모든 기기에서 크롬은 사용자의 하드웨어를 전달 대상 (delivery target) 로 간주하고 모델을 작성합니다.

삭제와 재다운로드 사이클은 Windows 설치에 대한 여러 독립적인 보고서 [5][6][7][8] 에서 문서화되어 있습니다 - 사용자가 삭제하면 크롬이 다시 다운로드하고, 사용자가 다시 삭제하면 크롬이 다시 다운로드하는 식입니다. 삭제가 고정되게 하는 유일한 방법은 chrome://flags 를 통해 크롬의 AI 기능을 비활성화하거나, 일반 가정용 사용자가 일반적으로 갖지 않는 기업 정책 툴링을 사용하거나, 크롬을 완전히 제거하는 것입니다 [5]. macOS 에서 파일은 사용자가 소유한 모드 600 로 생성되지만 (원칙적으로 삭제 가능), 크롬은 Local State 에 설치 상태를 유지합니다. 바이트가 작성된 후, 변이 서버 (variations server) 가 다음에 프로필이 적합하다고 크롬에게 알려주면 다운로드가 다시 트리거됩니다 - 아키텍처는 동일하지만 파일 권한만 다릅니다.

새로 생성한 Apple Silicon 프로필에서 어떻게 검증했는지

이 행동에 대한 대부분의 기존 보고서는 디스크가 가득 차는 것을 발견한 Windows 사용자들로부터 왔습니다 - 유용하지만, 구글은 (아마도 할 것) 이러한 보고서를 대표성이 없는 구성으로부터의 에피소드로 설명할 수 있습니다. 그래서 저는 다른 플랫폼에서 깨끗한 증인을 찾았습니다.

제가 찾은 증인은 macOS 자체입니다. 커널은 OS 수준에서 모든 파일 생성, 수정 및 삭제를 기록하는 .fseventsd 라는 파일 시스템 이벤트 로그를 유지합니다. 애플리케이션 로깅과 무관하게 크롬은 이를 편집할 수 없으며, 구글은 원격으로 접근할 수도 없습니다. 해당 이벤트를 기록하는 페이지 파일은 참조되는 파일이 삭제되더라도 생존합니다.

2026 년 4 월 23 일, 저는 자동화된 감사 (WebSentinel 100 사이트 프라이버시 스윕 중 하나) 를 실행하기 위해 Chrome user-data 디렉토리를 생성했습니다. 감사 드라이버는 완전히 Chrome DevTools Protocol(CDP) 기반이며 - 페이지를 로드하고 입력 없이 5 분간 대기하며 이벤트를 캡처한 후 사이트 간에 Chrome 을 종료합니다 - 이 프로파일은 존재 기간 동안 인간으로부터 키보드 또는 마우스 입력을 전혀 받지 않았습니다. Chrome 의 모든

총 설치 시간: 디렉터리 생성부터 최종 이동까지 14 분 28 초. 그 동안의 프로파일 대상 총 인간 행동: 없음. 감사 드라이버는 제 3 자 홈 페이지에 머무르거나 사이트 간 전환 중이었을 뿐 - 언팩퍼 (unpacker) 는 백그라운드에서 실행되며 탭은 5 분 타이머가 만료될 때까지 기다리고 있었음.

그 fseventsd 기록 내의 네이밍은, 만약 어떤 것이 있다면 가장 유죄적인 세부 사항임. 임시 디렉터리는 com.google.Chrome.chrome_chrome_Unpacker_BeginUnzipping.5xzqPo

• 그 접두사 com.google.Chrome.chrome_chrome_*

는 구글 크롬 자체에서 사용하는 번들 ID 및 서브프로세스 네이밍 규칙임. 이는 com.google.GoogleUpdater.*

및 com.google.GoogleSoftwareUpdate.*

가 아님. 작성자는 크롬 - 사용자가 설치하고 웹 페이지를 로드할 것을 신뢰하는 브라우저 프로세스임 - 사용자 파일시스템을 자의적으로 침투하여 4 GB ML 바이너리를 배치함. 동시에 앞선 탭은 완전히 무관한 작업을 수행함.

동일한 머신상에서 추가 3 가지 입증 증거가 존재: 크롬 자체의 Local State JSON 감사 프로파일에는 optimization_guide.on_device 블록이 포함되어 있으며, 그 내에는 model_validation_result: { attempt_count: 1, result: 2, component_version: "2025.8.8.1141" }

가 있음. 크롬은 모델을 실행함. component_version 은 fseventsd 이벤트가 기록한 경로 구성 요소와 일치하는 버전 문자열임. 두 개의 독립적인 증인, 동일한 아티팩트. 동일한 블록은 performance_class: 6, vram_mb: "36864"

을 보고함 - 크롬은 GPU 를 읽었으며 (읽은 통합 메모리 총량) 사용자에게 AI 기능이 표출되기 전에 모델 푸시 eligibility 를 결정하기 위해 하드웨어를 특징화함.크롬의 감사 프로파일에는 ChromeFeatureState 블록에 OnDeviceModelBackgroundDownload<OnDeviceModelBackgroundDownload

및 ShowOnDeviceAiSettings<OnDeviceModelBackgroundDownload

이 포함되어 있음. 첫 번째 플래그는 무음 다운로드를 트리거함. 두 번째 플래그는 chrome://settings

의 온디바이스 AI 섹션을 공개함. 둘 다 동일한 롤아웃 플래그에 의해 제한됨 - 이는 크롬 자체 아키텍처에 의해 설치 시작이 사용자가 거절할 수 있는 설정 UI 가 없는 경우보다 먼저 발생함을 의미함. 기능을 발견할 수 있게 하는 설정 페이지는 설치가 활성화된 것과 동시에 활성화됨 - 이는 설계임, 실수가 아님.GoogleUpdater 로그는 온디바이스 모델 제어 컴포넌트 (appid {44fc7fe2-65ce-487c-93f4-edee46eeaaab}

을 기록함.

http://edgedl.me.gvt1.com/edgedl/diffgen-puffin/{44fc7fe2-65ce-487c-93f4-edee46eeaaab}/... 에서 다운로드됨

• 2026 년 4 월 2 일, 해당 감사 프로파일이 생성된 3 일전에 도착한 7 MB 압축 제어 파일. 이것이 상류 제어 평면 (upstream control plane) 입니다: 이는 프로파일 독립적이며,每小时(1 시간마다) 발사되는 LaunchAgent 가 자동으로 실행하며, URL 은 평범한 HTTP 입니다 (무결성은 패키지의 CRX-3 서명에서 확인되며, 전송 보안에서 확인하지 않음). 제어 구성 요소는 실제 가중치 (weights) 를 지목하는 Chrome 의 매니페스트를 제공하고, Chrome 의 프로세스 내 OnDeviceModelComponentInstaller

• GoogleUpdater 와 별개의 코드 경로 - 그런 다음 Google 의 CDN 에서 직접 멀티 GB 가중치를 가져옵니다.

따라서 우리는 이제 4 가지 증거 사슬을 갖게 되었습니다 - macOS 커널 파일 시스템 이벤트, Chrome 의 자체 프로파일별 상태, Chrome 의 런타임 기능 플래그, 그리고 Google 의 구성 요소 업데이트 로그 - 모두 동일한 행동에 동의하며, 그 행동은: 이 사용자의 디스크에 동의 없이, 통보 없이, 인간 입력이 전혀 없는 프로파일에 4 GB AI 모델이 도착했으며, 이는 화요일 오후에 14 분 28 초의 시간 창에서 발생했습니다.

OptGuideOnDeviceModel
directory 와 weights.bin
파일 보고는 커뮤니티 포럼에서 1 년 이상 유포되어 왔습니다 - 2026 년 새로운 것은 규모와 검증 가능성입니다. Chrome 의 시장 점유율은 전 세계적으로 64% 를 유지하고 있습니다 [9][10], Chrome 의 사용자 기반은 신뢰할 수 있는 2026 년 추정을 따라 34 억 5 천만 명에서 38 억 3 천만 명 사이이며, Google 은 Gemini 기능을 Chrome 에 점점 더 공격적으로 통합해 왔습니다. 이 행동은 이제 소수의 파워 유저와 소수의 플랫폼에 영향을 미치지 않습니다 - 모든 데스크톱 OS 에서 Chrome 이 실행하는 수억 대의 기기에 영향을 미칩니다.

The Anthropic comparison, point for point

동일한 다크 패턴 플레이북 (dark-pattern playbook). 저는 Claude Desktop article [1] 에서 분류를 반복합니다. 패턴은 동일하며 그것이 목적입니다.

1. Forced bundling across trust boundaries. Anthropic 은 Claude Desktop 을 설치한 후 Brave, Edge, Arc, Vivaldi, Opera, 그리고 Chromium 에 작성했습니다. Google 은 Chrome 을 설치한 후 사용자의 프로파일 디렉터리 아래 4 GB AI 모델을 승인 없이 작성합니다. 바이너리는 Chrome 이 아닙니다. 그것은 별도의 훈련된 머신 러닝 모델이며, 별도의 목적, 별도의 데이터 보호 프로필, 그리고 별도의 동의 발자취를 가집니다.