谷歌Chromium藏匿私有API，可读取深度硬件情报，用户隐私边界再受挑战

7月10日消息，在对Chromium项目的源代码进行审查时，开发者们发现谷歌预留了一个私有的API接口。这个API的独特之处在于，它仅限于谷歌自家的主域名.google.com使用，这意味着除了谷歌自己的网站和服务之外，其他任何外部开发者或网站都无法访问和利用这个API的功能。

这个API只对谷歌主域名*.google.com开放，允许谷歌网站读取用户电脑的详细硬件信息，包括CPU使用率、GPU使用率、内存使用率以及访问CPU规格信息等。

任何人都可以在自己的Chrome浏览器进行复现，步骤如下：

用Chrome打开Google的网站（*.google.com网站），在Chrome Dev Tool的控制台输入：

chrome.runtime.sendMessage('nkeimhogjdpnpccoofpliimaahmaaome', {method: 'cpu.getInfo'}, response => {console.log(JSON.stringify(response, null, 2));});

然后就可以看到自己电脑的CPU信息。

正常情况下，网站只能通过UserAgent即用户代理字符串来获取用户PC上的有限信息，如CPU架构、操作系统版本或屏幕分辨率。

然而，谷歌通过私有API能够获取的硬件信息要详细得多，这不仅可能涉及隐私问题，而且这种仅面向特定域名开放的做法，还可能违反了相关法律。

例如，Google Meet和Zoom都提供视频会议功能，借助这个私有API，谷歌可以尽可能优化Google Meet在PC上的表现效果，而Zoom则不能获得CPU/GPU的详细使用信息，因此在竞争中处于不利地位。

进一步分析发现，这个私有API是通过一个内置的Chrome扩展程序（ID：nkeimhogjdpnpccoofpliimaahmaaome）实现的。

但这一扩展对用户来说是完全隐蔽的，用户无法禁用该扩展程序，也无法在扩展程序管理页面中找到它。

此外，至少已经发现两款基于Chromium的第三方浏览器——Microsoft Edge和Brave浏览器——也内置了该扩展程序。

这表明其他基于Chromium项目开发的浏览器很可能也存在同样的问题，目前尚不清楚谷歌是否会更新Chrome，允许用户禁用这个扩展。

谷歌AI赋能开源管理：Oscar服务上线，助力开发者智能化管控项目

7月18日消息，谷歌于今日正式揭晓了Project Oscar项目，旨在赋能开源社群，该项目致力于为开源开发团队提供工具，以便他们能够轻松利用和开发人工智能智能体来辅助管理及优化软件开发流程，此举措有望引领开源领域迈向智能化的新阶段。

谷歌在印度班加罗尔举办了 2024 I / O Connect 开发者活动，旗下 Go 语言开发团队推出了 Project Oscar 项目，通过构建 AI 智能体开源平台，可以帮助软件产品团队监控开发过程中的问题或错误。

这些 AI 智能体可部署在开发、规划、运行或者售后支持等方面，开发者无需重新编写任何代码，可以通过自然语言进行交互。

谷歌开源编程语言 Go 的产品经理卡梅隆·巴拉汉（Cameron Balahan）说，Oscar 现在已经部署到项目中，帮助 Go 开发团队跟踪错误报告和其他贡献者的参与情况。

Balahan 说，Go 项目有超过 93000 次提交和 2000 名贡献者，因此要跟踪所有可能出现的问题非常困难。

Go 使用的是通过 Project Oscar 开发的 AI 智能体，它能接收问题报告，并通过审查这些数据或调用开发工具来丰富问题报告，凸显最重要的信息。该 AI 智能体还与报告问题的人进行互动，以澄清任何问题，即使人类维护者不在线也是如此。