Chrome 148 xóa tuyên bố “không gửi dữ liệu lên máy chủ Google”, trong khi vẫn tự động tải mô hình Gemini Nano 4GB mà không xin phép người dùng.
Google Chrome đang đối mặt với làn sóng chỉ trích từ cộng đồng bảo mật và quyền riêng tư sau khi phiên bản 148.0.7778.97 âm thầm xóa bỏ một cam kết quan trọng trong phần mô tả tính năng AI trên thiết bị.
Trước đây, tại mục Cài đặt > Hệ thống > AI trên thiết bị, Chrome từng ghi rõ dữ liệu sẽ “không được gửi tới máy chủ Google”. Dòng cam kết đó đã hoàn toàn biến mất trong bản cập nhật mới nhất, thay bằng nội dung trung tính không đề cập đến bất kỳ đảm bảo nào về quyền riêng tư.
Sự thay đổi này xảy ra đồng thời với việc Chrome tiếp tục âm thầm tải xuống tập tin weights.bin, bộ trọng số của mô hình Gemini Nano, dung lượng khoảng 4GB lên mọi thiết bị đáp ứng yêu cầu phần cứng tối thiểu, hoàn toàn không có thông báo hay cửa sổ xin phép. Tập tin được lưu trong thư mục OptGuideOnDeviceModel bên trong dữ liệu người dùng của Chrome, và sẽ tự động tải lại nếu bị xóa.
Hành vi này đã được nhà nghiên cứu quyền riêng tư Alexander Hanff xác nhận qua nhật ký hệ thống mức nhân trên macOS, và sau đó được kiểm chứng thêm trên Windows 11 lẫn Ubuntu.
Cam kết bị xóa — lỗ hổng đã có từ trước
Điều đáng chú ý là cụm từ bị loại bỏ vốn là lập luận trung tâm mà Google dùng để biện minh cho việc cài đặt Gemini Nano không cần sự đồng ý: xử lý dữ liệu trực tiếp trên thiết bị đồng nghĩa với việc không có gì được gửi lên máy chủ. Tuy nhiên, lập luận này đã tồn tại mâu thuẫn ngay từ đầu. Tính năng “AI Mode” hiển thị trên thanh địa chỉ trong Chrome 147 thực chất chuyển toàn bộ truy vấn lên đám mây của Google thay vì mô hình cục bộ.
Ngoài ra, Google thừa nhận rằng trong một số trường hợp các trang web tích hợp Gemini Nano sẽ có khả năng truy cập dữ liệu đầu vào và đầu ra của mô hình, và việc sử dụng dữ liệu khi đó sẽ chịu sự điều chỉnh bởi chính sách quyền riêng tư của từng trang web, không phải của Google.
Phát ngôn viên Google khẳng định với Decrypt rằng việc xóa cụm từ không phản ánh thay đổi nào trong cách xử lý AI trên thiết bị, và lý giải đây là quyết định nhằm tránh gây hiểu nhầm trong các tình huống bên thứ ba có thể tiếp cận dữ liệu. Tuy nhiên, giải thích này không xoa dịu được cộng đồng.
Thông tin ban đầu do Hanff công bố nhanh chóng lan rộng qua Reddit và Hacker News, thu hút hơn 250 điểm đánh giá chỉ trong vài giờ. Hanff đồng thời cho rằng hành vi tự động tải xuống vi phạm Điều 5(3) của Chỉ thị ePrivacy của Liên minh châu Âu, quy định yêu cầu sự đồng ý rõ ràng trước khi lưu trữ dữ liệu trên thiết bị người dùng, một tuyên bố có thể mở ra hướng điều tra pháp lý nghiêm túc trong phạm vi EU.
Sự việc đặt ra câu hỏi cốt lõi về ranh giới giữa triển khai AI có trách nhiệm và việc thu thập tài nguyên thiết bị người dùng mà không có sự đồng thuận thực sự. Với Chrome đang kiểm soát hơn 65% thị phần trình duyệt toàn cầu, tác động của các quyết định chính sách như thế này không chỉ giới hạn ở một sản phẩm đơn lẻ.
