Google Chrome stilletjes een AI-model van 4 GB naar de apparaten van gebruikers gedownload zonder daar eerst toestemming voor te vragen.
Beveiligingsonderzoeker Alexander Hanff, ook bekend als ThatPrivacyGuy, verslagen dat Chrome stilletjes Gemini Nano, het AI-model van Google dat op het apparaat zelf draait, Chrome geïnstalleerd als een bestand met de naam weights.bin opgeslagen in de OptGuideOnDeviceModel map in Chrome van gebruikers. Deze download van 4 GB vindt automatisch plaats zodra Chrome je apparaat aan de hardwarevereisten voldoet. Er wordt geen toestemming gevraagd en er wordt geen melding gegeven – zelfs geen van die vervelende cookiebanners die je inmiddels zonder te lezen wegklikt.
Het Gemini Nano-model ondersteunt functies zoals de tekstschrijfhulp ‘Help me write’, detectie van oplichting op het apparaat zelf en een Summarizer-API die websites rechtstreeks kunnen aanroepen. Deze functies zijn in sommige recente Chrome standaard ingeschakeld. En hier komt het: als je het bestand ontdekt en verwijdert, downloadt Chrome het Chrome opnieuw.
Waarom dit belangrijk is
Laten we beginnen met het voor de hand liggende probleem: een download van 4 GB is niet voor iedereen een peulenschil. Als je het geluk hebt onbeperkt glasvezelinternet te hebben, merk je er misschien niets van. Maar voor gebruikers met een datalimiet, mobiele hotspots of in ontwikkelingslanden waar data duur is, kost Google hen zomaar geld zonder toestemming. Voor gebruikers op het platteland of mensen met een bandbreedtelimiet kan zo’n stille overdracht de maandelijkse limiet binnen enkele minuten opgebruiken.
Hanff richt zich op het milieuaspect. Hij berekende dat als dit model al aan slechts 1 miljard Chrome zou worden aangeboden (ongeveer 30% van het totale aantal Chrome), de distributie alleen al 240 gigawattuur aan energie zou verbruiken en 60.000 ton CO₂-equivalent zou genereren. Daarbij is het daadwerkelijke gebruik van het model nog niet eens meegerekend, alleen de downloads.
Maar voor ons is het meest verontrustende aspect het bredere patroon dat hieruit naar voren komt. Nog maar een paar weken geleden berichtten we over een andere ongevraagde AI-inbreuk op onze pc’s, ontdekt door Hanff. Hij legde vast hoe de Claude Desktop-app van Anthropic stilletjes integratiebestanden installeerde in meerdere Chromium-browsers, waaronder vijf browsers die hij niet eens had geïnstalleerd. De integratie installeerde zichzelf opnieuw als deze werd verwijderd, en dit gebeurde bovendien zonder dat de gebruiker hierover duidelijk werd geïnformeerd.
Hanff stelt dat beide gevallen waarschijnlijk in strijd zijn met de EU-privacywetgeving, met name de bepalingen van de e-privacyrichtlijn inzake het opslaan van gegevens op apparaten van gebruikers en de vereisten van de AVG op het gebied van transparantie en rechtmatige verwerking. Hoewel deze beweringen nog niet voor de rechter zijn getoetst, brengen ze een fundamentele spanning aan het licht: mogen bedrijven zomaar alles op je computer installeren, zolang ze maar beweren dat het een functie is van een app die je zelf hebt geïnstalleerd?
Google zou kunnen aanvoeren dat het gebruik van AI op je apparaat meer privacy biedt dan cloudgebaseerde alternatieven. Dat klopt in het algemeen wel, maar het gaat hier niet op, aangezien de meest opvallende AI-functie Chrome– het ‘AI-modus’-pictogram in de adresbalk – niet eens gebruikmaakt van het lokale model. Volgens de analyse van Hanff worden zoekopdrachten hoe dan ook doorgestuurd naar de cloudservers van Google.
Al met al zien gebruikers een lokaal AI-model van 4 GB en gaan ze er redelijkerwijs vanuit dat hun gegevens privé blijven, terwijl in werkelijkheid de meest in het oog springende AI-functie alle gegevens naar de servers van Google stuurt.
Techbedrijven moeten ophouden met het beschouwen van stille installaties als een aanvaardbare praktijk. Wij zien hiervoor geen geldige reden. Jouw apparaat is van jou. De opslagruimte is van jou. De bandbreedte is van jou. En de elektriciteitsrekening is van jou.
Waar is het vragen om toestemming gebleven? En als ik het verwijder, wil ik dat het voorgoed weg is – geen automatische herinstallatie.
Wanneer gaan die techreuzen nu eens inzien dat we niet achteraf willen ontdekken dat onze apparaten zijn ingezet voor functies waar we nooit om hebben gevraagd?
Surf alsof niemand kijkt.
Malwarebytes Privacy VPN je verbinding en houdt nooit bij wat je doet, zodat het volgende artikel dat je leest niet als iets persoonlijks hoeft te voelen.Probeer het gratis →
