Security Advisory – Weights.bin w Google Chrome

cze 11, 2026 | Bez kategorii

Security Advisory - Google Chrome i lokalne AI Weights.bin

Wstęp

W ostatnich tygodniach pojawiły się publiczne doniesienia, że Google Chrome może pobierać lokalnie na urządzenia użytkowników wielogigabajtowy plik modelu AI, identyfikowany najczęściej jako weights.bin, umieszczany w katalogu OptGuideOnDeviceModel. Według raportów, plik ten jest powiązany z Gemini Nano, tj. modelem AI przeznaczonym do działania lokalnie w przeglądarce, a jego rozmiar może wynosić ok. 4 GB.

Z perspektywy bezpieczeństwa informacji nie należy traktować tego mechanizmu jako złośliwego oprogramowania, natomiast powinien on zostać objęty oceną ryzyka, ponieważ zmienia profil techniczny przeglądarki, sposób wykorzystania zasobów urządzenia oraz potencjalnie umożliwia korzystanie z funkcji AI poza standardowo zatwierdzonymi kanałami organizacji.

Google Chrome i Gemini Nano

Gemini Nano w Chrome jest elementem szerszego kierunku rozwoju tzw. built-in AI, czyli funkcji AI wbudowanych bezpośrednio w przeglądarkę. Google wskazuje, że wybrane API i funkcje, takie jak Summarizer API, Writer API, Rewriter API, Proofreader API oraz Prompt API, mogą korzystać z modeli językowych działających lokalnie na komputerze użytkownika, bez konieczności wdrażania modelu przez aplikację webową. Google [1] opisuje również, że zarządzanie modelem – jego pobranie, aktualizacja i usuwanie – odbywa się automatycznie po stronie Chrome. W rezultacie przeglądarka przestaje pełnić wyłącznie funkcję klienta aplikacji webowych, stając się jednocześnie lokalnym środowiskiem wykonywania komponentów sztucznej inteligencji.

Z perspektywy organizacji istotny jest przede wszystkim aspekt przejrzystości i kontroli. Publiczne źródła wskazują, że użytkownicy mogli obserwować pojawienie się dużego pliku w katalogach profilu Chrome bez wyraźnego komunikatu lub świadomego zatwierdzenia pobrania. Malwarebytes [2] zwraca uwagę, że usunięcie katalogu może nie wystarczyć, ponieważ Chrome może pobrać komponent ponownie, jeżeli funkcje AI pozostają aktywne.

Prywatność danych

Ryzyko prywatności ma charakter złożony. Z jednej strony Google deklaruje, że gdy używany jest model lokalny, dane nie są wysyłane do Google ani podmiotów trzecich w ramach samego użycia modelu, co może być korzystniejsze niż przetwarzanie w chmurze. Z drugiej strony obecność lokalnego modelu AI może wytworzyć u użytkowników błędne przekonanie, że wszystkie funkcje AI w Chrome działają wyłącznie lokalnie, podczas gdy część funkcji widocznych w przeglądarce (takich jak asystent AI w pasku URL) lub integracji Gemini może być realizowana inaczej, w zależności od wersji, regionu, konfiguracji oraz polityk organizacyjnych.

Shadow IT

Drugim obszarem ryzyka jest możliwość obejścia wewnętrznych zasad dotyczących korzystania z nieautoryzowanych narzędzi AI. Jeżeli organizacja blokuje zewnętrzne serwisy AI na poziomie DNS, proxy, DLP lub polityk SaaS, lokalny model w przeglądarce może nie być objęty tymi samymi mechanizmami kontroli, ponieważ przetwarzanie może odbywać się bez klasycznego ruchu do zewnętrznej usługi AI po pobraniu modelu.

Dodatkowo Google wskazuje, że wbudowane API AI mogą być wykorzystywane przez aplikacje webowe i rozszerzenia Chrome. Oznacza to, że zabezpieczenia nie powinny ograniczać się wyłącznie do blokowania znanych domen usług AI, lecz powinny obejmować także polityki przeglądarki, rozszerzenia, funkcje eksperymentalne oraz dopuszczalne przypadki użycia.

Wykorzystanie zasobów

Trzecim istotnym aspektem jest wydajność oraz zużycie zasobów urządzeń. Według źródeł branżowych plik weights.bin może zajmować ok. 4 GB przestrzeni dyskowej, a jego pobranie może być zauważalne szczególnie na urządzeniach z mniejszymi dyskami SSD, limitowanymi łączami lub współdzielonym pasmem sieciowym.

W złożonych środowiskach skumulowany efekt może być istotny: nawet pojedynczy komponent o rozmiarze kilku GB, replikowany na wielu urządzeniach i profilach użytkowników, może wpływać na pojemność dysków, czas aktualizacji, przepustowość łącza, backup, monitoring EDR oraz ilość zgłoszeń helpdesk.

Identyfikacja Weights.bin

Według dokumentacji Google funkcje Gemini Nano w Chrome nie są przeznaczone na urządzenia mobilne, a dla API korzystających z modelu wymagane są urządzenia desktopowe spełniające określone warunki [3].

Specyfikacja techniczna

Obsługiwane środowiska obejmują:

  • Windows 10 lub 11,
  • macOS 13 Ventura lub nowszy,
  • Linux oraz ChromeOS na urządzeniach Chromebook Plus od wskazanej wersji platformy,
  • Chrome na Androidzie, iOS oraz ChromeOS poza Chromebook Plus nie jest obecnie wspierany dla API wykorzystujących Gemini Nano.

Wymagania sprzętowe obejmują:

  • co najmniej 22 GB wolnego miejsca na wolumenie profilu Chrome,
  • GPU z więcej niż 4 GB VRAM,
  • CPU z co najmniej 4 rdzeniami,
  • co najmniej 16 GB RAM.

Dla pierwszego pobrania wymagane jest łącze nielimitowane lub niemierzone,
natomiast późniejsze użycie modelu nie wymaga połączenia sieciowego.

W celu ustalenia czy na danym urządzeniu jest obecny lokalny model Gemini Nano, rekomenduje się w pierwszej kolejności weryfikację w samej przeglądarce.

Użytkownik lub administrator może otworzyć chrome://on-device-internals/, przejść do sekcji „Model Status” i sprawdzić, czy widoczny jest model lokalny, jego status oraz ścieżka instalacji.  Jeżeli widoczne są komunikaty typu „Not Eligible”, „Not Ready” lub brak informacji o pobranym modelu, urządzenie prawdopodobnie nie spełnia wymagań albo model nie został jeszcze pobrany.

Dodatkowo można zweryfikować obecność katalogu OptGuideOnDeviceModel w lokalizacji profilu Chrome:

Windows:
%LOCALAPPDATA%\Google\Chrome\User Data\OptGuideOnDeviceModel\

macOS:
~/Library/Application Support/Google/Chrome/OptGuideOnDeviceModel/

Linux:
~/.config/google-chrome/OptGuideOnDeviceModel/

Obecność katalogu OptGuideOnDeviceModel oraz pliku weights.bin o rozmiarze kilku GB wskazuje, że lokalny model został pobrany lub jest przechowywany w profilu Chrome.

Zalecane działania

W zakresie usunięcia komponentu zaleca się nie ograniczać działań do ręcznego skasowania katalogu [4]:

Zalecane kroki usunięcia / ograniczenia funkcjonalności:

 

  1. Najpierw należy wyłączyć funkcje AI w Chrome, o ile są dostępne w danej wersji i regionie, przechodząc do chrome://settings/ai, gdzie mogą występować opcje dotyczące funkcji takich jak „Help me write”, podsumowania lub lokalne funkcje AI.
  2. Alternatywnie lub uzupełniająco można przejść do chrome://flags, wyszukać:
    • optimization-guide-on-device-model
    • prompt-api-for-gemini-nano

    i ustawić je na Disabled.

  3. Następnie ponownie uruchomić przeglądarkę.
  4. Po pełnym zamknięciu Chrome można usunąć katalog OptGuideOnDeviceModel z właściwej lokalizacji profilu użytkownika.

Google Chrome Enterprise

W środowisku firmowym rekomendowanym podejściem jest kontrola centralna. Google udostępnia politykę GenAILocalFoundationalModelSettings, która konfiguruje, czy Chrome może pobierać lokalny model – przy wartości Allowed lub braku ustawienia model może być pobierany automatycznie, natomiast przy wartości Disabled model nie powinien być pobierany, a istniejący model powinien zostać usunięty.

Google udostępnia również polityki dotyczące ogólnych ustawień generatywnego AI w Chrome Enterprise, w tym GenAiDefaultSettings, oraz osobną politykę GeminiSettings dla integracji Gemini, które powinny zostać uwzględnione w docelowej konfiguracji Chrome Enterprise.

Podsumowanie

W przypadku kontynuowania dopuszczania Google Chrome jako przeglądarki korporacyjnej rekomenduje się przeprowadzenie pogłębionej analizy konfiguracji, obejmującej identyfikację wersji Chrome, kanałów aktualizacji, aktywnych polityk GenAI, listy dozwolonych rozszerzeń, dostępności chrome://settings/ai oraz obecności katalogów OptGuideOnDeviceModel na reprezentatywnej próbie urządzeń. Należy również ocenić, czy obecne kontrole blokujące nieautoryzowane AI obejmują lokalne modele uruchamiane w przeglądarce, czy tylko dostęp do usług zewnętrznych.

Do czasu zakończenia oceny ryzyka rekomenduje się wyłączenie lokalnego modelu GenAI przez polityki enterprise, szczególnie na stacjach roboczych przetwarzających dane poufne, dane klientów, dane regulowane lub informacje objęte tajemnicą przedsiębiorstwa.

Jednym z najbardziej widocznych trendów pozostaje dalszy wzrost znaczenia przeglądarek internetowych jako pełnoprawnego środowiska pracy i jednocześnie jednej z największych powierzchni ataku. Pisaliśmy o tym między innymi w majowym Biuletynie Threat Intelligence. Z tego względu organizacje powinny wdrażać wymuszanie aktualizacji przeglądarek lub skracać już istniejące okresy — na podstawie analizy ryzyka i potrzeb funkcjonalnych.

 

Źródła:
[1] Pierwsze kroki z wbudowaną AI  |  AI on Chrome  |  Chrome for Developers
[2] Google Chrome’s silent 4GB AI download problem [updated] | Malwarebytes
[3] Pierwsze kroki z wbudowaną AI  |  AI on Chrome  |  Chrome for Developers
[4] Google Chrome Is Secretly Downloading a 4GB AI File — Here’s How to Stop It – Tech2Geek