Google Chrome stillschweigend ein 4 GB großes KI-Modell auf die Geräte der Nutzer heruntergeladen, ohne zuvor um Erlaubnis zu fragen.
Der Sicherheitsforscher Alexander Hanff, auch bekannt als ThatPrivacyGuy, Berichte dass Chrome stillschweigend „Gemini Nano“, Googles gerätebasiertes KI-Modell, als eine Datei namens weights.bin gespeichert in der OptGuideOnDeviceModel Verzeichnis innerhalb Chrome der Nutzer. Dieser 4 GB große Download erfolgt automatisch, sobald Chrome , dass Ihr Gerät die Hardwareanforderungen erfüllt. Es wird weder um Ihre Zustimmung gebeten, noch erhalten Sie eine Benachrichtigung – nicht einmal eines dieser lästigen Cookie-Banner, die Sie mittlerweile ohne zu lesen wegklicken.
Das Gemini Nano-Modell unterstützt Funktionen wie die Textverfassungshilfe „Help me write“, die Betrugserkennung auf dem Gerät und eine Summarizer-API, die Websites direkt aufrufen können. Diese Funktionen sind in einigen neueren Chrome standardmäßig aktiviert. Und hier kommt der Clou: Wenn man die Datei entdeckt und löscht, lädt Chrome sie Chrome erneut herunter.
Warum das wichtig ist
Beginnen wir mit dem offensichtlichen Problem: Ein Download von 4 GB ist nicht für jeden eine Kleinigkeit. Wer das Glück hat, über unbegrenztes Glasfaser-Internet zu verfügen, merkt davon vielleicht gar nichts. Aber für Nutzer mit datenvolumenbegrenzten Verbindungen, mobilen Hotspots oder in Entwicklungsländern, in denen Datenvolumen teuer ist, hat Google ihnen ohne Erlaubnis echtes Geld gekostet. Für Nutzer in ländlichen Gebieten oder solche mit Bandbreitenbeschränkungen kann eine solche stillschweigende Übertragung das monatliche Limit innerhalb von Minuten sprengen.
Hanff konzentriert sich auf den Umweltaspekt. Er hat berechnet, dass allein die Verteilung dieses Modells an nur 1 Milliarde Chrome (etwa 30 % der Chrome) 240 Gigawattstunden Energie verbrauchen und 60.000 Tonnen CO₂-Äquivalent verursachen würde. Dabei ist die tatsächliche Nutzung des Modells noch nicht einmal berücksichtigt, sondern lediglich die Downloads.
Für uns ist jedoch der beunruhigendste Aspekt das allgemeine Muster, das sich hier abzeichnet. Erst vor wenigen Wochen berichteten wir über einen weiteren Fall einer unaufgeforderten KI-Invasion auf unseren PCs, den Hanff aufgedeckt hatte. Er dokumentierte, wie die „Claude Desktop“-App von Anthropic unbemerkt Browser-Integrationsdateien in mehreren Chromium-Browsern installierte, darunter fünf Browser, die er gar nicht installiert hatte. Die Integration installierte sich selbst neu, wenn sie entfernt wurde, und dies geschah zudem ohne nennenswerte Benachrichtigung des Nutzers.
Hanff argumentiert, dass beide Fälle wahrscheinlich gegen das EU-Datenschutzrecht verstoßen, insbesondere gegen die Bestimmungen der ePrivacy-Richtlinie zur Speicherung von Daten auf Nutzergeräten und gegen die Anforderungen der DSGVO hinsichtlich Transparenz und rechtmäßiger Verarbeitung. Auch wenn diese Behauptungen noch nicht gerichtlich geprüft wurden, verdeutlichen sie einen grundlegenden Konflikt: Dürfen Unternehmen einfach alles auf Ihrem Computer installieren, was sie wollen, solange sie behaupten, es handele sich um eine Funktion einer von Ihnen installierten App?
Google könnte argumentieren, dass eine KI auf dem eigenen Gerät mehr Datenschutz bietet als cloudbasierte Alternativen. Das trifft zwar generell zu, gilt hier jedoch nicht, da die bekannteste KI-Funktion Chrome– die Schaltfläche „KI-Modus“ in der Adressleiste – gar nicht das lokale Modell nutzt. Laut Hanffs Analyse leitet sie Suchanfragen ohnehin an Googles Cloud-Server weiter.
Insgesamt sehen die Nutzer ein lokales KI-Modell mit 4 GB und gehen zu Recht davon aus, dass ihre Daten privat bleiben, während in Wirklichkeit die auffälligste KI-Funktion alle Daten an die Server von Google sendet.
Tech-Unternehmen müssen aufhören, die heimliche Installation als akzeptable Praxis zu betrachten. Wir sehen dafür keinen triftigen Grund. Ihr Gerät gehört Ihnen. Der Speicherplatz gehört Ihnen. Die Bandbreite gehört Ihnen. Und die Stromrechnung geht zu Ihren Lasten.
Was ist denn aus der Frage nach der Erlaubnis geworden? Und wenn ich es deinstalliere, soll es endgültig weg sein – keine automatische Neuinstallation.
Wann werden die Tech-Giganten endlich begreifen, dass wir nicht erst im Nachhinein feststellen wollen, dass unsere Geräte zu Zielplattformen für Funktionen geworden sind, um die wir nie gebeten haben?
Stöbern Sie, als würde niemand zusehen.
Malwarebytes Privacy VPN Ihre Verbindung und protokolliert niemals Ihre Aktivitäten, sodass Sie sich beim Lesen des nächsten Artikels nicht persönlich angesprochen fühlen müssen.Kostenlos testen →
