所以,暫時唔應該一口咬定係已證實嘅私隱醜聞;但亦唔應該輕描淡寫話「只係一次更新」。真正要追問嘅,是用戶同管理員對瀏覽器本地 AI 有幾多控制權。
一個大型本地 AI 模型,本身唔必然係私隱問題。相反,如果內容真係留喺裝置上處理,唔需要送上雲端,裝置端 AI 可以減少某些雲端資料流;Google 亦形容 Gemini Nano 可在無網絡連線、毋須把資料傳到雲端嘅情況下支援生成式 AI 體驗 。
問題在於:用戶有冇被清楚告知有呢個新元件?它幾時會啟動?會處理咩內容?網站或者 Chrome 功能可唔可以調用?又可唔可以一鍵停用?
呢點對瀏覽器尤其重要,因為 Chrome Built-in AI 唔只係內部優化。Google 文件描述嘅係一套 API,讓網頁應用程式使用瀏覽器管理嘅模型執行 AI 任務 。Google I/O 技術內容提到嘅用途包括翻譯、總結、撰寫同改寫內容
。當呢類能力變成瀏覽器底層功能,用戶需要嘅唔係一行「佔用儲存空間」提示,而係清楚、可理解、可選擇嘅控制。
私隱風險好大程度取決於用途。同一個本地模型,可以用嚟做寫作建議、翻譯、摘要;亦可以用於安全功能。Google 文件同 Google I/O 內容提到 Built-in AI 可支援翻譯、總結、撰寫同改寫等任務 。另外,Infosecurity Magazine 報道指,Google 曾在 Chrome 137 的 Safe Browsing「Enhanced Protection」模式中實驗使用 Gemini Nano,作為針對垃圾訊息、詐騙同釣魚攻擊嘅額外防護層
。
呢啲用途可以有實際價值,但亦令設定需要更細緻。用戶應該可以分開選擇:是否使用本地 AI 做便利功能、是否用於安全防護、是否容許開發者 API 調用,或者完全不用。否則,一次普通瀏覽器更新就會令人覺得變成「靜靜雞加功能」。
「On-device」最大賣點係資料可以留喺本機,但本地處理唔等於所有問題自動消失。至少以下問題要交代清楚:
瀏覽器日常會接觸好多敏感資料:表格內容、內部文件、電郵、即時訊息、客服個案、客戶資料等等。如果 AI 功能負責翻譯、摘要、撰寫或改寫文字,就有機會接觸呢類內容 。如果處理真係全程留喺本地,當然比自動送上雲端更私隱友善
;但用戶仍然需要知道 AI 幾時開緊、處理緊邊啲內容,以及有冇額外資料流。
理想做法係:當某個 Chrome 功能或網站使用本地模型時,瀏覽器應該有清晰提示;同時要講明該次處理係純本地,定係會同 Google 或其他服務有資料傳輸。現時 Chrome AI 官方頁面說明咗 Built-in AI API 嘅存在,但未完全解答每一項具體控制、遙測同提示問題 。
最尖銳嘅指控唔只係「下載咗 4GB」,而係下載之後有冇控制。多篇報道聲稱,相關檔案手動刪除後會重新下載,而且一般 Chrome 設定入面無簡單 opt-out 。如果屬實,呢點會係嚴重嘅用戶自主問題:刪除唔代表真正移除,不使用亦唔代表清楚拒絕。
現有資料未足以判定 Google 或 Chrome 已經違法,因為仍欠缺完整細節:實際派發方式、提示內容、預設設定、啟動邏輯、資料流同遙測安排都未完全清楚。不過,有私隱相關報道認為,事件可能觸及 GDPR 即歐盟《一般資料保護規例》入面嘅透明度、資料保護 by design 原則,以及 ePrivacy 對終端設備儲存或存取資料嘅要求 。
要分清楚:模型檔案唔係因為大就自動有問題。真正敏感嘅位係,如果 Chrome 在無清楚資訊下安裝一個可處理用戶內容嘅元件,或者相關遙測、啟動數據、使用數據無被充分解釋,先會變成私隱同合規焦點。
如果瀏覽器要內置本地 AI,最低限度應該有幾件事:
呢啲唔只係法律文件上嘅細節。它們決定咗裝置端 AI 會被理解成私隱改進,定係一層用戶睇唔清、熄唔乾淨嘅新瀏覽器能力。
Chrome Built-in AI 配合 Gemini Nano,係官方文件已經寫明嘅方向 。至於「靜默下載約 4GB
weights.bin,刪除後又重新下載」呢個具體指控,已有多篇報道提及,但相關 Chrome 官方文件未清楚確認檔案大小、檔名或刪除後恢復機制 。