O Google Chrome vindo a descarregar discretamente um modelo de IA de 4 GB para os dispositivos dos utilizadores sem lhes pedir autorização prévia.
O investigador de segurança Alexander Hanff, também conhecido como ThatPrivacyGuy, relatórios que Chrome vindo a instalar discretamente o Gemini Nano, o modelo de IA do Google integrado no dispositivo, como um ficheiro chamado weights.bin armazenado no OptGuideOnDeviceModel diretório dentro Chrome dos utilizadores. Este download de 4 GB ocorre automaticamente quando Chrome o seu dispositivo cumpre os requisitos de hardware. Não pede consentimento nem envia qualquer notificação — nem mesmo um daqueles banners irritantes sobre cookies que já aprendeu a fechar sem ler.
O modelo Gemini Nano alimenta funcionalidades como a assistência à composição de texto «Ajuda-me a escrever», a deteção de fraudes no próprio dispositivo e uma API de resumo que os sites podem invocar diretamente. Estas funcionalidades estão ativadas por predefinição em algumas Chrome recentes Chrome . E eis o mais surpreendente: se encontrar o ficheiro e o eliminar, Chrome volta a descarregá-lo.
Por que isso é importante
Comecemos pelo problema óbvio: um download de 4 GB não é algo insignificante para toda a gente. Se tiver a sorte de ter internet de fibra ilimitada, talvez nem repare nisso. Mas para os utilizadores com ligações limitadas, hotspots móveis ou em países em desenvolvimento onde os dados são caros, o Google acabou de lhes custar dinheiro a sério sem autorização. Para os utilizadores rurais ou aqueles com limites de largura de banda, este tipo de transferência silenciosa pode esgotar os limites mensais em poucos minutos.
Hanff centra-se na perspetiva ambiental. Ele calculou que, se este modelo fosse disponibilizado a apenas mil milhões Chrome (cerca de 30 % da base de utilizadores Chrome), só a distribuição consumiria 240 gigawatts-hora de energia e geraria 60 000 toneladas de CO₂ equivalente. Isto sem contar com a utilização efetiva do modelo, apenas com os downloads.
Mas, para nós, o aspeto mais preocupante é o padrão mais geral que isto representa. Há apenas algumas semanas, relatámos outra invasão não solicitada de IA nos nossos computadores pessoais, descoberta por Hanff. Ele documentou como a aplicação Claude Desktop da Anthropic instalava silenciosamente ficheiros de integração no navegador em vários navegadores Chromium, incluindo cinco navegadores que ele nem sequer tinha instalados. A integração reinstalava-se automaticamente se fosse removida, e tudo isto acontecia sem qualquer informação significativa ao utilizador.
Hanff argumenta que ambos os casos violam provavelmente a legislação da UE em matéria de privacidade, nomeadamente as regras da Diretiva sobre Privacidade Eletrónica relativas ao armazenamento de dados nos dispositivos dos utilizadores e os requisitos do RGPD em matéria de transparência e tratamento lícito. Embora estas alegações ainda não tenham sido apreciadas em tribunal, elas põem em evidência uma tensão fundamental: será que as empresas podem simplesmente instalar o que quiserem no seu computador, desde que afirmem que se trata de uma funcionalidade de uma aplicação que o utilizador instalou?
O Google poderá argumentar que ter uma IA no dispositivo oferece maior privacidade do que as alternativas baseadas na nuvem. O que, em geral, é verdade, mas não se aplica neste caso, uma vez que a funcionalidade de IA mais destacada Chrome— o botão «Modo IA» na barra de endereços — nem sequer utiliza o modelo local. De acordo com a análise de Hanff, as consultas são, de qualquer forma, encaminhadas para os servidores na nuvem do Google.
Em suma, os utilizadores veem um modelo de IA local de 4 GB e partem do princípio, com razão, de que os seus dados permanecem privados, quando, na realidade, a funcionalidade de IA mais visível envia tudo para os servidores do Google.
As empresas de tecnologia têm de deixar de considerar a instalação silenciosa como uma prática aceitável. Não vemos qualquer justificação válida para isso. O dispositivo é seu. O espaço de armazenamento é seu. A largura de banda é sua. E a conta de eletricidade é sua.
E a questão de pedir autorização? E quando o desinstalar, quero que desapareça de vez — sem reinstalação automática.
Quando é que os gigantes da tecnologia vão perceber que não queremos descobrir, só depois do facto, que os nossos dispositivos se tornaram alvos de implementação de funcionalidades que nunca pedimos?
Navegue como se ninguém estivesse a ver.
VPN Malwarebytes Privacy VPN a sua ligação e nunca regista o que faz, para que a próxima notícia que ler não pareça dirigida a si.Experimente gratuitamente →
