币圈界报道：

Rabby钱包启动阶段数据外传遭技术界质疑

Gnosis技术副总裁兼HOPR创始人Sebastian C. Bürgel公开一组浏览器日志，揭示Rabby钱包在用户完成密码设定前已开始向matomo.rabby.io、Google Analytics及Sentry.io等平台传输配置信息，触发新一轮隐私安全讨论。

早期行为暴露数据收集时序漏洞

日志分析显示，该钱包在初始加载阶段便产生大量外部通信流量，涉及多个第三方遥测与错误监控服务。这一行为与其宣称的“以用户隐私为核心”的定位形成鲜明反差，尤其在欧盟《通用数据保护条例》（GDPR）框架下，引发对透明度和合法性依据的深度拷问。

元数据价值远超种子短语本身

尽管私钥与助记词未被传输，但钱包启动时间、设备型号、操作系统版本、网络环境及访问模式等元数据具备高度可识别性，足以构建用户数字画像。对于依赖自我托管的钱包用户而言，这些信息可能成为身份关联与行为推断的关键入口。

信任断裂源于信息披露不完整

Rabby的隐私政策虽列明将收集设备标识符、位置信息与系统配置，但未明确列出具体合作的数据处理方。这种模糊表述在用户尚未建立信任关系的初期即启动数据外传，严重削弱了“知情同意”机制的有效性，尤以重视隐私的欧洲用户群体反应最为强烈。

钱包安全边界正面临多重侵蚀

当前安全威胁已不再局限于种子短语泄露。恶意软件、虚假支持链接、权限滥用以及分析工具嵌入均构成攻击路径。近期事件表明，即使为非托管设计，若缺乏严格的默认隐私保护机制，仍可能造成敏感行为数据的隐蔽外泄。

应对迟缓或加剧信任危机

截至发稿，Rabby未就上述指控作出正式回应。若无法提供生产环境日志验证、明确解释数据内容与接收方、说明欧盟用户同意流程，并允许用户在初始化阶段完全关闭遥测功能，其声誉将面临持续挑战。

建议用户审查扩展权限、比对隐私条款、分隔高价值账户与日常使用钱包，并对大额资产考虑采用硬件签名方案，警惕任何默认视为“私密”的浏览器钱包。