Disclaimer: Ten artykuł nie jest poradą prawną. Stanowi analizę implikacji bezpieczeństwa i prywatności funkcji Gemma 197M ogłoszonej przez Google na I/O 2026 (19 maja 2026). Polskie konsekwencje prawne RODO i ePrivacy mogą wymagać konsultacji z radcą prawnym specjalizującym się w prawie nowych technologii. Część szczegółów technicznych mechanizmu dystrybucji Gemma 197M jest oparta na obserwowalnych wzorcach z dystrybucji Gemini Nano — Google na maj 2026 nie opublikował pełnej dokumentacji architektonicznej dla Gemma 197M w Chrome. Analiza może wymagać aktualizacji po pełnej publikacji specyfikacji w drugiej połowie 2026.
22 maja 2026 — co zostało powiedziane
Trzy dni temu na cyberflux.pl opublikowałem analizę zatytułowaną "14 minut 28 sekund zero kliknięć użytkownika — co kernel macOS zarejestrował o pobraniu Gemini Nano przez Chrome". Artykuł opisywał konkretny mechanizm dystrybucji Gemini Nano: silent download przez Chrome's Optimization Guide do katalogu OptGuideOnDeviceModel, bez zgody użytkownika, na 500 milionów urządzeń.
Argumentowałem, że ten mechanizm narusza ePrivacy Directive art. 5(3) (zgoda na "storing of information ... in the terminal equipment") oraz RODO art. 5(1)(c) (data minimisation — Chrome pobiera 4GB modelu na urządzenia, gdzie użytkownik tego modelu może nigdy nie użyć). Pokazałem polityki blokady (GenAILocalFoundationalModelSettings dla Windows/macOS/Linux), które pozwalają administratorom enterprise wyłączyć ten mechanizm.
Wpis kończyłem otwartym pytaniem: czy podobny mechanizm zostanie użyty dla kolejnych modeli, które Google wprowadzi do Chrome?
Trzy dni później, na keynote'u Google I/O 2026, Sundar Pichai ogłosił Gemma 197M. Drugi lokalny model w Chrome, obok Gemini Nano.
Trzeci akt sagi weights.bin zaczyna się 24 maja 2026.
Co Gemma 197M faktycznie jest
Gemma 197M to ultra-efektywny model językowy z serii Gemma (open weights Google) ogłoszony na I/O 2026. Specyfikacja:
- Parametry: 197 milionów (stąd nazwa),
- Rozmiar: ~200MB skompresowanego modelu (ok. 50-krotnie mniej niż Gemini Nano ~4GB),
- Architektura: transformer decoder, zoptymalizowany pod task-specific operacje (summarization, translation, classification),
- Dostępność: wpinany w Chrome 148+ obok Gemini Nano,
- Selekcja modelu: automatyczna po stronie Chrome — developer wywołujący Prompt API nie wybiera modelu, Chrome decyduje na podstawie zadania i zasobów urządzenia.
Mała wielkość (200MB) ma jedną kluczową konsekwencję: model ten może być dystrybuowany na urządzenia, na które Gemini Nano nie wchodzi. Klasy budget Android, starsze laptopy z 4GB RAM, niskobudżetowe Chromebooki — wszystkie te urządzenia, do tej pory wykluczone z lokalnego AI w przeglądarce, teraz mieszczą Gemma 197M.
Skala wprowadzenia jest znacznika. Gemini Nano dotarł do ~500 milionów urządzeń desktopowych (głównie Mac, Windows z 16GB+ RAM, Chromebooks Plus). Gemma 197M może dotrzeć do dwukrotnie tylu urządzeń. Konsumentów, których cyfrowe życie nie jest particularly tech-savvy, którzy używają Chrome'a głównie do social media i sklepów online.
Pytanie 1: czy mechanizm dystrybucji jest ten sam?
To jest pytanie, na które Google explicite nie odpowiedział w żadnym z opublikowanych do 24 maja 2026 dokumentów:
- Chrome for Developers blog: "15 updates from Google I/O 2026"
- Google Developers Blog: "I/O 2026 developer highlights"
- chromium.org documentation updates from week of I/O
- Chrome Enterprise policy documentation
Brak explicite odpowiedzi nie oznacza braku odpowiedzi. Architektura, którą Google buduje od 2024 dla on-device AI w Chrome, ma jedną drogę dystrybucji:
Chrome Optimization Guide. System wbudowany w Chromium do dystrybucji "optimization hints" do urządzenia użytkownika. Pierwotnie używany do dystrybucji modeli predicting page performance (Phishing Detection model, Page Load Optimization model). Rozszerzony w 2024 o dystrybucję AI on-device models.
OptGuideOnDeviceModel. Katalog systemowy (w macOS: ~/Library/Application Support/Google/Chrome/OptGuideOnDeviceModel/, w Windows: %LOCALAPPDATA%\Google\Chrome\User Data\OptGuideOnDeviceModel\), gdzie Chrome przechowuje pobrane modele. Plik weights.bin to surowy plik wag modelu, dystrybuowany przez Chrome bez wizualnego sygnału dla użytkownika.
OptimizationGuideOnDeviceModelInstallerPolicy. Klasa w kodzie Chromium (/components/optimization_guide/core/model_executor.h) odpowiadająca za logikę pobierania modeli — verification, rate limiting, retry logic, storage management.
To są publiczne, otwarte komponenty kodu Chromium. Każdy może je przejrzeć. Nic w architekturze nie sugeruje, że Gemma 197M wprowadzi nowy mechanizm dystrybucji. Wręcz przeciwnie — Google ekonomicznie chce ponownie użyć istniejących komponentów.
Predykcja techniczna na podstawie publicznego kodu Chromium: Gemma 197M zostanie dystrybuowane przez ten sam mechanizm (Optimization Guide → CRX-3 package → katalog OptGuideOnDeviceModel → automatyczna aktualizacja). Drugi plik weights.bin w katalogu (lub osobny subkatalog) — to jest najbardziej prawdopodobny scenariusz.
To znaczy, że wszystkie zarzuty z poprzedniego wpisu dotyczące Gemini Nano — automatyczna dystrybucja bez zgody, naruszenie ePrivacy 5(3), naruszenie data minimisation — dotyczą również Gemma 197M. Z dwukrotną skalą wprowadzenia.
Pytanie 2: czy polityki blokady działają?
GenAILocalFoundationalModelSettings to polityka Chrome wprowadzona w 2024, pozwalająca administratorom enterprise zablokować silent download Gemini Nano. Konkretnie:
- Windows (Registry):
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\GenAILocalFoundationalModelSettings = 0 - macOS (plist):
defaults write com.google.Chrome GenAILocalFoundationalModelSettings -int 0 - Linux (JSON):
/etc/opt/chrome/policies/managed/{policy}.jsonzawierający"GenAILocalFoundationalModelSettings": 0
Wartość 0 (Disabled) blokuje pobieranie i użycie lokalnych modeli AI w Chrome. Wartość 1 (Enabled) jest default'em.
Pytanie: czy ta polityka obejmuje wszystkie lokalne modele AI, czy tylko Gemini Nano?
Nazwa polityki sugeruje szerszą scope ("local foundational model", nie "Gemini Nano"). Dokumentacja Google z maja 2024, kiedy polityka była wprowadzana, mówiła ogólnie o "on-device AI models" bez precyzji.
Analiza kodu źródłowego Chromium (publicznie dostępna w chromium.googlesource.com) pokazuje że flag jest sprawdzany w generic optimization guide service, nie w Gemini-Nano-specific code path. To znaczy, że architektonicznie polityka powinna blokować również Gemma 197M.
Powinna — to jest słowo kluczowe. Google nie publikował testów weryfikujących to dla nowego modelu. Branżowi sysadminowie z Polski, którzy testują polityki blokady w swojej infrastrukturze, raportują w społecznościach (LinkedIn Polish IT Pros, Polish Security Forum) że w pierwszych dniach po I/O 2026 (20-24 maja) Gemma 197M nie była jeszcze dystrybuowana w kanałach stable Chrome. Niemożliwe więc empirycznie zweryfikować, czy blokada działa, do momentu rolloutu.
Praktyczna rekomendacja dla polskich enterprise CISO: załóż że polityka działa, ale weryfikuj empirycznie po rollout'cie. Po ogłoszeniu daty rolloutu Gemma 197M (Google nie potwierdził do 24 maja), test plan:
- Ustaw polityka w GenAILocalFoundationalModelSettings = 0 na grupie testowej urządzeń,
- Po update Chrome na nową wersję z Gemma 197M, sprawdź katalog OptGuideOnDeviceModel — czy są nowe pliki?
- Wywołaj Prompt API w DevTools z zadaniem typu summarization — Chrome powinien zwrócić error "model not available",
- Jeśli model jest pobrany lub Prompt API zwraca odpowiedź — polityka nie objęła Gemma 197M, eskaluj do Google Cloud support.
Pytanie 3: zgoda przy wielu modelach — jak liczyć?
To jest najbardziej interesujące pytanie prawne, otwarte przez Gemma 197M. Pytanie, na które wpis z 22 maja nie mógł odpowiedzieć (bo wtedy istniał tylko Gemini Nano).
ePrivacy Directive art. 5(3) wymaga zgody na "storing of information, or the gaining of access to information already stored, in the terminal equipment". Klasyczna interpretacja: cookies, ale art. 5(3) jest szerszy.
Kiedy Chrome instaluje Gemini Nano, robi to bez wyraźnej zgody. Argumentacja Google: instalacja jest "strictly necessary" dla funkcjonalności AI features Chrome'a, więc wpisuje się w wyjątek art. 5(3) ("strictly necessary for the provision of an information society service explicitly requested by the subscriber").
Argument może być rozsądny dla jednego modelu, jeśli funkcjonalność jest aktywnie wyczekiwana przez użytkownika. Co kiedy modeli jest dwa? Trzy? Pięć?
Każdy dodatkowy model otwiera pytanie: czy ten konkretny model jest "strictly necessary" dla "service explicitly requested"? Czy może użytkownik dostał Gemini Nano, używa go do Tab Summary, i nigdy nie zażądał task-specific functionality, dla której Gemma 197M ma być instalowane?
W strict interpretation (którą prawdopodobnie przyjmie EDPB w przyszłym statement): każdy model wymaga osobnej zgody. Generic acceptance "AI features Chrome" nie wystarcza, bo art. 4(11) RODO wymaga zgody specific.
W lax interpretation (którą prawdopodobnie przyjmie Google w ToS): jedna zgoda na "AI capabilities of Chrome" pokrywa wszystkie modele, obecne i przyszłe. To podejście maksymalnie wygodne dla Google, ale stoi w sprzeczności z duchem ePrivacy.
Najprawdopodobniejszy outcome za 18-24 miesięcy: EDPB statement nakazujący opt-in dla każdego modelu osobno, z UI flow podobnym do cookie consent. Implementacyjnie skomplikowane, ale prawnie nieuniknione.
Tymczasem do enforcement'u: kompletna szara strefa. Polski CISO musi zdecydować, jak interpretować — strict (zablokować) lub lax (zezwolić) — bez ostatecznej wytycznej regulatora.
Threat model specyficzny dla Gemma 197M
Wpis z 22 maja opisał kategorie threat dla Gemini Nano. Większość z nich (model integrity, prompt injection w zadaniach AI, exfiltration scenariuszy) dotyczy również Gemma 197M.
Trzy zagrożenia specyficzne dla Gemma 197M:
Zagrożenie 1: większa attack surface przez większą skalę dystrybucji
Gemini Nano dotarł do ~500 milionów urządzeń, głównie tech-savvy desktop users (Mac, Windows z 16GB+ RAM). Tych użytkowników wielu zdaje sobie sprawę z istnienia lokalnego AI, monitoruje katalog OptGuideOnDeviceModel, prowadzi blogi o reverse-engineering.
Gemma 197M dotrze potencjalnie do dwa razy więcej urządzeń, włączając klasy budget Android, których użytkownicy są mniej tech-savvy. To są ludzie, którzy nie wiedzą, że Chrome zainstalował model AI. Którzy nie zauważą, że katalog z plikiem weights.bin zajął im 200MB miejsca. Którzy nie sprawdzą, czy Chrome przesyła telemetrię o użyciu modelu.
Większa skala + mniej świadomi użytkownicy = większa attack surface dla potencjalnych malicious actors, którzy chcieliby exploit'ować lokalny model AI (np. dla side-channel data exfiltration).
Zagrożenie 2: zmiana behavioral fingerprint urządzeń
Każde urządzenie z Gemma 197M staje się odróżnialne od urządzenia bez Gemma 197M w specyficzny sposób — może uruchamiać określone AI tasks lokalnie, ma określony performance profile dla tych tasks. To otwiera nową kategorię device fingerprinting.
Stara metoda device fingerprinting (User-Agent, screen resolution, fonts, canvas fingerprinting) jest dobrze zbadana i częściowo blokowana przez Privacy Sandbox, anti-fingerprinting features w Firefox/Brave/Safari. Nowa metoda — "AI capability fingerprinting" — jeszcze nie ma kontrobron.
Stronowy script może wywołać window.ai.canCreateTextSession() i otrzymać odpowiedź pokazującą, który model jest dostępny (Gemini Nano, Gemma 197M, oba). To informacja unikalna dla większości urządzeń.
Zagrożenie 3: opaque model versioning
Gemini Nano przeszedł kilka wersji od 2024 (Nano-2, Nano-3, eksperymentalne updates). Każda wersja może mieć inne capabilities, inne backdoors, inne bugs.
Z Gemma 197M dochodzi drugi model z własnym versioning. Chrome decyduje który model uruchomić dla zadania, bez transparency dla developera ani użytkownika. Aplikacja korzystająca z Prompt API w środę może działać inaczej niż w czwartek, bo Chrome silently updated jeden z modeli.
Konsekwencja dla security review aplikacji web używających lokalnych modeli AI: niemożliwa. Nie wiesz, na jakim modelu działa twój kod. Nie wiesz, kiedy się zmienia.
Sektorowe implikacje
Sektor finansowy. Banki, ubezpieczyciele, brokerzy z Polski podlegają DORA (od stycznia 2025). DORA wymaga klasyfikacji "krytycznych dostawców ICT". Chrome z Gemini Nano i Gemma 197M jest endpointem dla pracowników, ale model jest po stronie Google — pre-classified jako external ICT provider.
Pracownicy banków używający Chrome z lokalnymi modelami AI mogą przypadkowo processować dane klientów przez te modele (np. używając Tab Summary do streszczenia maila z klientem). Procesowanie danych osobowych przez model bez wcześniejszej oceny ryzyka i due diligence dostawcy = naruszenie DORA i RODO.
Praktyczna rekomendacja: bankowy CISO powinien zdecydować — zablokować Gemini Nano + Gemma 197M (przez GenAILocalFoundationalModelSettings = 0) lub przeprowadzić formalny risk assessment.
Sektor zdrowia. Lekarze, szpitale, kliniki z Polski podlegają szczególnym wymaganiom dotyczącym danych medycznych. RODO art. 9 (dane szczególnych kategorii) plus polska ustawa o systemie informacji ochronie zdrowia plus ustawa o zawodach lekarza wymagają wyższego standardu ochrony.
Gemini Nano i Gemma 197M na laptopie lekarza przeglądającego stronę z wynikami badań pacjenta = procesowanie danych szczególnych kategorii przez model AI, bez wcześniejszej oceny ryzyka. Najprawdopodobniejszy outcome regulatorny: zakaz używania.
Praktyczna rekomendacja: szpitalny IT dział powinien zablokować lokalne AI w Chrome dla wszystkich urządzeń pracowników klinicznych.
Sektor publiczny. Urzędy państwowe, samorządowe, spółki Skarbu Państwa podlegają polskiej ustawie o krajowym systemie cyberbezpieczeństwa (KSC) plus DORA-like wymaganiom KSC dla operatorów usług kluczowych. Plus polityka cybersecurity Unii Europejskiej (NIS2 transposed).
Praktyczna rekomendacja: blokowanie lokalnego AI w Chrome jako baseline polityka bezpieczeństwa dla urządzeń pracowników administracji publicznej.
Sektor obronny i strategiczny. Wojsko, ABW, Policja, służby specjalne — wszystkie te organizacje powinny definitywnie blokować lokalne modele AI w przeglądarkach na urządzeniach pracowniczych. To jest baseline.
Analiza prawna — pogłębienie z poprzedniego wpisu
Polskie organy nadzorcze — kto może działać
W kontekście Gemini Nano + Gemma 197M, polski regulator z mandatami:
Prezes Urzędu Ochrony Danych Osobowych (PUODO) — dla naruszeń RODO. PUODO może otworzyć postępowanie z urzędu na podstawie własnej analizy zgody Chrome do lokalnego AI. Średni czas postępowania PUODO: 18-30 miesięcy.
Urząd Komunikacji Elektronicznej (UKE) — dla naruszeń ustawy o usługach cyfrowych (polska transpozycja DSA). UKE ma mandat na VLOP (Very Large Online Platforms), do których Chrome bezdyskusyjnie się kwalifikuje.
Prezes Urzędu Ochrony Konkurencji i Konsumentów (UOKiK) — dla naruszeń ustawy o ochronie konkurencji i konsumentów. Jeśli rozłożysz "Chrome silently downloads AI models" w narrative "consumer doesn't know what they consented to" — to jest UOKiK territory.
Roszczenia indywidualne (class action potential)
W polskim prawie: ustawa o dochodzeniu roszczeń w postępowaniu grupowym z 2009 (z istotnymi zmianami w 2022). Pozwala grupie minimum 10 osób na zorganizowanie pozwu zbiorowego w sprawach pieniężnych z tytułu czynów niedozwolonych.
Hipotetyczny scenariusz: 10+ polskich konsumentów udowadnia (sądowo), że Chrome zainstalował Gemini Nano + Gemma 197M na ich urządzeniach (200MB + 4GB miejsca) bez zgody, w naruszeniu ePrivacy. Każdy z nich szacuje swoje szkody na PLN 100-500 (utrata miejsca dyskowego × średni cost / GB). Pozew zbiorowy na minimum 10×100 = 1,000 PLN, ale faktyczny scope mógłby być miliony użytkowników.
Czy taki pozew się odbędzie? Prawdopodobieństwo niskie. Polska tradycja prawnicza nie jest tak class-action-friendly jak USA. Ale rośnie z każdym rokiem.
Komparycja z innymi jurysdykcjami
Niemcy, Francja, Holandia — kraje z aktywnymi national data protection authorities, które już testowały Chrome w przeszłości (na przykład w sprawie Chrome bez consent banner w 2018-2020). Każdy z tych regulatorów może wystąpić z formalnym dochodzeniem o silent AI model download.
USA — FTC może działać under Section 5 of FTC Act ("unfair and deceptive practices"). Lina Khan podpisywała w 2024 statements wskazujące na zainteresowanie AI deployment practices Google. Trump administration FTC priorities mogą być inne, ale kategoria nie zniknie.
UK — Information Commissioner's Office (ICO) ma jurisdiction over UK GDPR. Wcześniejsze decyzje ICO (np. Clearview AI fine w 2022) sugerują willingness do aggressive enforcement.
Co robić — praktyczne kroki
Dla użytkowników indywidualnych
- Sprawdź czy Gemini Nano jest na twoim urządzeniu. Otwórz katalog (macOS:
~/Library/Application Support/Google/Chrome/OptGuideOnDeviceModel/, Windows:%LOCALAPPDATA%\Google\Chrome\User Data\OptGuideOnDeviceModel\). Jeśli widzisz pliki*.bin— masz Nano. - Sprawdź po rollout'cie Gemma 197M (przewidywany koniec czerwca 2026). Ten sam katalog. Jeśli pojawiają się nowe podkatalogi lub większe pliki — masz Gemma 197M.
- Wyłącz Gemini in Chrome jeśli nie używasz aktywnie. Settings → Privacy and Security → Settings → off / disabled. To nie usuwa istniejącego modelu, ale blokuje nowy.
- Rozważ alternatywy. Firefox, Brave, Vivaldi — przeglądarki, które jeszcze nie dystrybuują AI models silentnie. Compromise: utrata niektórych Chrome features.
Dla CISO/CIO polskich organizacji
- Zaktualizuj politykę bezpieczeństwa firmy o eksplicytną decyzję o lokalnych modelach AI w przeglądarkach. Trzy opcje: allow (z risk assessment), allow w określonych grupach (np. R&D ale nie HR/finance), block (default dla sektorów regulowanych).
- Wdroż GenAILocalFoundationalModelSettings = 0 dla blocking decision. Polityka pokrywa Gemini Nano i (przewidywanie) Gemma 197M.
- Audyt skutków polityki po rollout'cie. Tydzień po rollout'cie Gemma 197M, weryfikuj na grupie testowej że polityka faktycznie blokuje pobieranie nowego modelu.
- Zaktualizuj DPIA (Data Protection Impact Assessment). Każda nowa kategoria dostawcy AI to nowy item w DPIA organizacji. Dokumentuj decyzję.
- Powiadom CSIRT. Jeśli organizacja podlega NASK Krajowego Systemu Cyberbezpieczeństwa, zgłoś deployment nowego AI model jako significant change w environment.
Dla webmasterów
- Audytuj swoją stronę pod kątem AI capability fingerprinting. Jeśli twój script wywołuje
window.ai.canCreateTextSession()lub podobne API — sprawdź czy to konieczne. Eliminuj fingerprinting surface. - Update privacy policy strony o eksplicyne wzmianki o tym, że Chrome user może mieć lokalne modele AI procesujące treść strony. To nie jest twoja decyzja (nie kontrolujesz Chrome), ale powinieneś użytkownika poinformować.
- Rozważ implementację detection AI assistant. Niektóre strony (banki, healthcare portale) mogą chcieć ostrzec użytkownika, że ich treść może być processowana przez lokalny model AI. UI patterns: banner "AI assistance detected, sensitive content present", recommendation to disable Gemini in Chrome.
Refleksja końcowa
Trzeci akt sagi weights.bin — to jest pierwsze pytanie, na które Google nie odpowiedział na I/O 2026. Czy mechanism dystrybucji Gemma 197M jest taki sam jak Gemini Nano? Czy polityki blokady działają? Czy zgoda jest specyfikowana per model, czy generic?
Tych pytań nikt w branżowym pressie nie zadał. Tom's Guide pisał o "Nano Banana moment for video". The Verge pisał o "ambitious AGI claims". Engadget pisał o "smart glasses comeback". Wszystkie te artykuły są prawdziwe i odpowiadają na pytania, które one wybierają.
CyberFlux zadaje inne pytania. Bo każda nowa funkcjonalność wprowadzana do oprogramowania na 1+ miliard urządzeń ma drugą stronę — security, privacy, prawno-regulatorną. Tej strony Google na keynote'u nie omówił. Po 18 miesiącach od momentu opublikowania tego wpisu, kiedy regulator UE wyda statement na temat consent dla on-device AI models — wpis ten może okazać się prophecy. Może okazać się też zbyt ostrożnym.
W obu przypadkach — zadanie pytania jest cenne. Bo jeśli go nie zadamy teraz, kiedy decyzje technologiczne są podejmowane szybko, później będzie za późno na meaningful pushback.
Następny wpis w hubie Google I/O 2026 z perspektywy CyberFlux: warstwa 2, Antigravity SDK + Managed Agents jako agent supply chain w architekturze Google.
Powiązane wpisy
W hubie Google I/O 2026:
- Google I/O 2026 — kiedy Agentic Web stała się oficjalną strategią Google (wpis flagowy huba)
- 47 sekund, 3 zakupione produkty, 2 utworzone konta, 0 kliknięć użytkownika (flagowy CyberFlux huba)
- Gemini Omni — kiedy Pierwszy Czytelnik staje się multimodalny (warstwa 1 WebFlux)
Poza hubem:
- 14 minut 28 sekund zero kliknięć użytkownika — Gemini Nano w Chrome (poprzedni wpis sagi weights.bin)
Słownik:
- Gemma 197M
- Gemini Nano
- OptGuideOnDeviceModel
- GenAILocalFoundationalModelSettings
- Silent Client-Side AI Deployment
- Prompt API (Chrome)
- Chrome Optimization Guide
Źródła zewnętrzne:
- Chrome for Developers: 15 updates from Google I/O 2026
- Google Developers Blog: I/O 2026 developer highlights
- Chrome Enterprise policy: GenAILocalFoundationalModelSettings
- Chromium source: OptimizationGuideOnDeviceModelInstallerPolicy
- European Data Protection Board
- Polski Urząd Ochrony Danych Osobowych
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł