Hanff, kjent som «That Privacy Guy», publiserte funnet etter å ha satt opp en ren Chrome-profil på macOS og brukt operativsystemets egne filsystem-event-logger til å spore hva nettleseren gjorde i bakgrunnen. Chrome evaluerte maskinvaren, markerte den som kvalifisert, og lastet ned hele 4 GB-pakken på i overkant av 14 minutter, uten et eneste brukerklikk.
Filen heter weights.bin og ligger i en mappe kalt OptGuideOnDeviceModel dypt nede i Chrome User Data-katalogen. På Windows er stien Users\\AppData\\Local\\Google\\Chrome\\User Data. Modellen driver lokale funksjoner som svindeldeteksjon, der nettleseren skal kunne flagge phishing-sider uten å sende data til skyen.
Det mest kontroversielle er gjenoppstandelsen. Hvis du sletter weights.bin manuelt, laster Chrome den ned igjen ved neste oppstart. Eneste måte å stoppe det på er å skru av funksjonen via Chromes innstillinger, en knapp Google la til i februar 2026.
«Hvis modellen blir distribuert til hundrevis av millioner Chrome-brukere, kan energien som kreves bare for å levere filen nå hundrevis av gigawatt-timer, som tilsvarer titusenvis av tonn CO2-utslipp.» — Alexander Hanff, sikkerhetsforsker
Hanff argumenterer at praksisen sannsynligvis bryter ePrivacy-direktivet og GDPR siden programvare installeres uten samtykke. For norske utviklere på metered tilkoblinger eller mobile hotspots er regningen mer konkret: en stille 4 GB-nedlasting kan koste hundrelapper i datatrafikk.
Hva bør du gjøre?
- Sjekk om Chrome har lastet ned modellen. På Windows: åpne
%LOCALAPPDATA%\\Google\\Chrome\\User Dataog se etterOptGuideOnDeviceModel-mappen. På macOS:~/Library/Application Support/Google/Chrome. - Skru av on-device-modeller før du sletter. Gå til
chrome://settings/aiog deaktiver «AI features». Deretter kan du slette weights.bin uten at den kommer tilbake. - Vurder Brave eller Firefox for personvern-følsom bruk. Begge tilbyr lokal KI som krever eksplisitt aktivering. Chrome er fortsatt default-konfigurert til å laste ned modellen ved neste profil-oppretting.