研究人员先后发现Anthropic Claude桌面版和Google Chrome在用户电脑上自动安装文件，未事先告知、询问，也未提供退出选项。

Privacy Guys研究人员Alexander Hanff分别在4月中旬及本周发现此事。4月中旬，研究人员发现Anthropic的Claude Desktop Mac版应用在其基于Chromium的浏览器（如Chrome、Edge、Brave、Opera等）中自动创建了Native Messaging的配置文件（host manifest），但他当时并未立即察觉。这份JSON manifest文件允许浏览器扩展与本地Claude程序进行通信并执行某些本地操作。他发现，Claude Desktop在安装过程中便已为基于Chromium的浏览器建立了一套互通的底层架构，但该行为并未明确告知用户，更未获得用户授权。

该host manifest桥接机制本身是合法的通信配置，并非木马或恶意程序，但研究人员不满Claude Desktop在未经告知的情况下，擅自于用户电脑上建立了一个具有高权限的集成接口。研究人员还发现，如果用户手动删除该文件，每次启动Claude Desktop时都会重新安装。根据host manifest的特性——预装、长期休眠、默默等待、等待配套扩展程序触发——研究人员甚至称其为“间谍程序”。

而本周，Hanff又发现，Chrome会在满足硬件条件的设备上自动下载约4GB的Gemini Nano本地AI模型文件，名为weights.bin。weights.bin是Google设备端大语言模型Gemini Nano的权重文件，存储在OptGuideOnDeviceModel目录下，但Chrome并未弹出任何明显提示、通知或请求用户同意，许多人是在硬盘空间异常减少后才注意到。

与Claude Desktop的情况类似，如果用户手动删除该文件，Chrome仍会再次自动下载。唯一能关闭此功能的方法是通过chrome://flags禁用Chrome AI功能，或使用普通用户无法获取的企业策略工具，甚至彻底卸载Chrome。

研究人员利用macOS的文件系统事件日志重建了安装过程。他发现，从全新系统账户启动Chrome后，只要满足软硬件条件，模型就可能自动下载。从目录创建到最终文件下载、注册完成，仅耗时14分30秒。

此外，研究人员发现Gemini Nano几乎未在桌面端实际运行。他发现，Chrome 147地址栏（omnibox）中AI模式的每一次查询，都会通过网络发送至Google云端托管模型处理，这意味着用户被占用存储空间和下载带宽，却未能获得本地AI带来的性能提升与隐私保护。设备上的Nano模型从未被AI模式的用户界面流程调用；唯一会使用本地模型的功能（如“帮我写”、页面分组AI建议、智能粘贴、页面摘要）则隐藏在普通用户难以发现的右键菜单中。

研究人员预计Anthropic Desktop未来会移除该桥接机制或提供用户退出选项。他也建议Google应明确告知用户并提供授权选择。