Der Sicherheitsforscher Alexander Hanff hat Anfang Mai 2026 forensisch dokumentiert, dass Google Chrome ohne Wissen, Zustimmung oder auch nur Benachrichtigung der Nutzer°Innen ein rund 4 GB großes KI-Modell auf deren Geräte herunterlädt. Das Modell heißt Gemini Nano, ist die leichtgewichtigste Variante von Googles Gemini-Familie und landet im Chrome-Profilverzeichnis in einem Ordner namens OptGuideOnDeviceModel. Die größte Datei darin: weights.bin.
Hanff entdeckte das Ganze bei einem automatisierten Audit. Am 23. April 2026 hatte er ein frisches Chrome-Profil angelegt, das ausschließlich über das Chrome DevTools Protocol gesteuert wurde. Kein Mensch hatte je die Benutzeroberfläche berührt, keine KI-Funktion aktiviert, keinen Dialog bestätigt. Sechs Tage später: vier GB Modelldaten auf der Platte. macOS-Dateisystem-Logs lieferten den exakten Zeitstempel.
Keine Zustimmung, kein Hinweis, kein Entkommen
Chrome lädt das Modell auf jedes Gerät herunter, das die Mindesthardwareanforderungen erfüllt. Es gibt keinen Dialog, keine Nachfrage, nicht einmal einen dezenten Hinweis. Wer den Ordner manuell findet und löscht, erlebt beim nächsten Chrome-Start eine Überraschung: Das Modell wird kommentarlos neu heruntergeladen. Mehrere Nutzer°Innen berichten zudem, dass Chrome ältere Modellversionen nicht aufräumt und sich so 12 GB und mehr an Modellgewichten ansammeln.
Google hat nach der medialen Aufmerksamkeit ein Statement veröffentlicht: Man biete Gemini Nano seit 2024 als leichtgewichtiges On-Device-Modell an, es treibe Sicherheitsfunktionen wie Betrugserkennung und Entwickler-APIs an, und seit Februar 2026 könne man das Modell in den Chrome-Einstellungen deaktivieren und entfernen. Was Google wohlweislich nicht erwähnt: Warum das Modell überhaupt ohne vorherige Einwilligung installiert wird. Opt-out statt Opt-in, das kennt man von der Datenkrake.
Die Mogelpackung AI-Mode
Der eigentlich brisanteste Aspekt geht über die bloße Speicherplatzverschwendung hinaus. Chrome 147 zeigt rechts neben der Adressleiste prominent einen AI-Mode-Button an. Es liegt nahe anzunehmen, dass dieser Button das lokal installierte KI-Modell nutzt, dass also die eigenen Anfragen auf dem Gerät bleiben. Diese Annahme ist allerdings komplett falsch. Der AI-Mode-Button ist eine Cloud-Funktion. Jede Eingabe wandert an Googles Server. Gemini Nano wird im Hintergrund lediglich für Funktionen wie die Schreibhilfe oder die Tab-Gruppierung verwendet, also für Features, die die wenigsten Nutzer°Innen je bewusst aktivieren werden.
Man zahlt also mit 4 GB Speicherplatz und Bandbreite für ein lokales KI-Modell, während die einzige sichtbare KI-Funktion im Browser trotzdem alles an Google sendet. Das Problem wird noch größer, sobald Nutzer°Innen von dem lokalen Modell erfahren, sei es durch Berichterstattung oder durch einen Blick auf die eigene Festplattenbelegung: Wer weiß, dass Chrome ein KI-Modell lokal installiert hat, und dann den AI-Mode-Button in der Adressleiste sieht, wird vernünftigerweise annehmen, dass die eigenen Anfragen lokal verarbeitet werden. Genau das passiert aber nicht. Die Kombination aus heimlich installiertem Lokalmodell und prominent platziertem Cloud-Feature könnte man somit als irreführend bezeichnen.
Rechtlich auf dünnem Eis
Hanff argumentiert, dass die heimliche Installation gegen die EU-ePrivacy-Richtlinie verstößt. Artikel 5(3) dieser Richtlinie verlangt die ausdrückliche Einwilligung, bevor Daten auf dem Endgerät gespeichert werden. Für Cookies hat sich das als Consent-Banner durchgesetzt. Für ein 4 GB großes KI-Modell gibt es offenbar keinen vergleichbaren Mechanismus. Auch die DSGVO könnte laut Hanff betroffen sein: Artikel 5(1) verlangt Transparenz, Artikel 25 fordert Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Heimliche Installation ohne Opt-in ist das exakte Gegenteil. Allerdings halte ich den DSGVO-Bezug für ein wenig konstruiert, denn die Installation des Modells liefert keine persönlichen Daten an Google.
Es entstehen erhebliche vermeidbare ökologische Kosten
Hanff hat die ökologischen Auswirkungen hochgerechnet. Wenn das Modell auf nur eine Milliarde der geschätzten drei Milliarden Chrome-Installationen verteilt wird, sind das rund 4 Exabyte Datenvolumen. Die damit verbundenen CO₂-Emissionen beziffert er auf zwischen 6.000 und 60.000 Tonnen CO₂-Äquivalente, allein für den Download, ohne die Nutzung des Modells einzurechnen. Zur Erinnerung: Das sind die Kosten für KI-Features, die die Mehrheit der Nutzer°Innen weder kennt noch will und die klammheimlich installiert werden.
Kein Einzelfall, sondern System
Dieser Vorfall steht nicht allein. Hanff hatte wenige Wochen zuvor dokumentiert, dass Anthropics Claude Desktop ähnlich vorgeht und bei der Installation ungefragt Browser-Integrationsdateien in mehrere Chromium-basierte Browser schreibt, darunter auch in Browser, die gar nicht aktiv genutzt werden. Auch diese Integration installierte sich nach dem Löschen erneut.
Die Tech-Konzerne haben offenbar gemeinsam beschlossen, dass die Geräte ihrer Nutzer°Innen ihnen zur Verfügung stehen. Microsoft drängt Copilot in jede Ecke von Windows 11, Google installiert still und leise Modellgewichte, Anthropic schreibt sich in fremde Browser. Das gemeinsame Merkmal: Niemand fragt. Man drückt den Leuten das Zeug einfach aufs Gerät und hofft, dass sie es nicht merken.
Wer sich dagegen wehren will: In den Chrome-Einstellungen unter chrome://settings/ai lässt sich die Funktion seit Februar 2026 deaktivieren. Wer Chrome grundsätzlich in Frage stellt, findet mit Browser-Alternativen, die solche Übergriffigkeiten bisher nicht zeigen, beispielsweise Waterfox oder Vivaldi; nein, Firefox ist ebenfalls keine vertrauenswürdige Alternative mehr, denn auch die Mozilla Foundation war mit zweifelhaften Spielchen in Sachen Nutzungsbedingungen, KI oder Werbung aufgefallen und hat Vertrauen verspielt.
Wer sich mit dem Thema digitale Souveränität beschäftigt, kennt das Grundproblem: Solange wir Software nutzen, deren Hersteller unsere Geräte als ihre Infrastruktur betrachten, werden wir solche Vorfälle immer wieder erleben. Die Alternative ist, solche Software nicht mehr zu nutzen.
Quellen:
- Alexander Hanff (That Privacy Guy), Originalbericht, 4. Mai 2026: https://www.thatprivacyguy.com/blog/chrome-silent-nano-install/
- Malwarebytes Blog (Pieter Arntz), 6. Mai 2026: https://www.malwarebytes.com/blog/news/2026/05/google-chromes-silent-4gb-ai-download-problem
- Tom’s Hardware (Zak Killian), 6. Mai 2026: https://www.tomshardware.com/tech-industry/cyber-security/google-chrome-silently-downloads-4gb-ai-model-to-your-device-without-permission-report-claims-researcher-says-practice-may-violate-eu-law-waste-thousands-of-kilowatts-of-energy
- Android Headlines, inkl. Google-Statement, 6. Mai 2026: https://www.androidheadlines.com/2026/05/chrome-has-been-secretly-downloading-a-4gb-gemini-nano-model-to-your-device.html
- Gizmodo (AJ Dellinger), 6. Mai 2026: https://gizmodo.com/google-chrome-is-downloading-a-4gb-ai-model-onto-your-device-without-consent-researcher-warns-2000755201 TechSpot (Daniel Sims), 5. Mai 2026: https://www.techspot.com/news/112309-google-chrome-has-silently-pushing-4gb-ai-model.html
- CyberNews, 6. Mai 2026: https://cybernews.com/security/google-chrome-ai-model-device-no-consent/
- Alexander Hanff (That Privacy Guy), Anthropic/Claude Desktop, 18. April 2026: https://www.thatprivacyguy.com/blog/anthropic-spyware