功能定位:为什么需要“多人访问”
SafeW 的加密容器(Encrypted Container)本质是一套链下加密文件系统,通过 MPC 分片把解密权拆成 5 份,任意 3 份才能还原主密钥。2026-02 的 v6.3.1 把“多人访问”从企业插件下沉到标准版,个人也能在 5 分钟内把家庭冷钱包、DAO 金库或工作室 NFT 保险箱共享给同伴,而无需把助记词整体交出。核心关键词“SafeW加密容器多人权限”一次即可:它解决的是私钥不落地的多人协作。
版本演进:权限模型的三次迭代
v6.1 之前:单设备单密文
容器文件 .safe 只能由创建者本地解密,共享靠“导出-加密压缩-发送”,任何成员变动都要重新打包。
v6.2:MPC 共享但无角色
引入 3/5 阈值,但五片权限对等,无法限制“谁只能读”或“谁可新增代币”,导致 DAO 会计与实习生手握同等权力。
v6.3.1:角色模板+链上审计
新增 Owner、Manager、Viewer 三档,链上注册角色哈希,容器头部写入 ACL Merkle root,任何客户端都能本地校验身份,无需连后端。
前置条件与入口速查
- 客户端:SafeW v6.3.1 及以上(桌面端与移动端同一套加密容器格式)。
- 网络:容器创建与角色登记需一次链上交易,支持 ETH、Base、Arbitrum 三链,gas 由创建者代付。
- 身份:被邀请者需先完成 SafeW 账户抽象钱包激活,否则无法接收分片。
最短入口:首页 → 加密容器 → 右上角“⊕” → 新建共享容器 → 选择“多人协作模式”。
五步完成首次配置
- 命名与阈值:输入容器名,选择 3/5 阈值(不可改,后续加人只能重建)。
- 角色分配:Owner 默认创建者;添加 Manager 时输入对方 ENS 或 0x 地址;Viewer 只需扫码临时公钥,无需链上钱包。
- 分片分发:系统生成 5 份加密分片,自动把第 1 片写入创建者手机 Secure Enclave;第 2 片加密后上传至创建者 iCloud/Google Drive;第 3 片托管在 SafeW 云(可关闭);第 4、5 片分别通过二维码或加密链接发给前两位 Manager。
- 链上登记:一次性调用 RoleRegistry 合约,写入角色 Merkle root,消耗约 21 k gas;成功后容器文件头部附加 64 byte 审计字段。
- 同步验证:所有成员重启客户端,在“共享容器”页看到绿色对勾即表示本地已同步 ACL,可离线解密。
平台差异与回退方案
iOS:Secure Enclave 强制开启生物识别,若 Face ID 损坏,需用“恢复密钥+云分片”重建,流程约 3 分钟。Android:部分国产 ROM 阉割 Keystore,创建时会提示“硬件密钥不可用”,可改用软件加密分片,安全等级降为中等。桌面端:仅支持“观察+发起提案”,无法本地保存分片,适合会计岗位。
回退:若成员丢失全部分片,Owner 可在“设置→容器→重新分片”发起 3/5 签名,把旧容器解密后写入新阈值,旧文件自动失效。
角色权限矩阵与边界
| 角色 | 解密 | 新增资产 | 删除记录 | 变更角色 |
|---|---|---|---|---|
| Owner | ✔ | ✔ | ✔ | ✔ |
| Manager | ✔ | ✔ | ✘ | ✘ |
| Viewer | ✔ | ✘ | ✘ | ✘ |
边界:Viewer 虽然能解密,却无法发起链上交易;若容器内私钥用于多签,Viewer 仍需 Manager 配合才能转账。
场景示例:三人旅行基金
Alice、Bob、Carol 计划年底环游,预算 10 k USDC。Alice 作为 Owner 创建容器,阈值 3/5,她把两片分别给 Bob 和 Carol,一片放自己 iCloud,一片放 SafeW 云,最后一片打印成二维码密封在信封。旅途中任何人都能用 SafeW 扫码查看余额;若需支付酒店,Alice 或 Bob 用 Manager 权限发起提案,Carol 用 Viewer 手机离线确认价格后,Alice 再用生物签名完成 MPC 3/5,链上代付 gas 已预存,整个过程 40 秒完成。旅行结束,Alice 一键“归档容器”,所有分片失效,剩余资金转回个人钱包。
不适用清单:什么时候别用多人容器
- 高频日内交易:每次签名需 3/5 在线,延迟约 20–40 秒,不适合抢铸或套利。
- 超大文件存储:容器加密后单文件上限 500 MB,超过需拆分,经验性观察同步失败率升高。
- 合规强审计:虽然链上记录角色哈希,但文件内容仍链下保存,若监管要求“随时可读原始私钥”,则需额外托管方案。
故障排查:成员看不到容器
- 现象:共享页空白。可能原因:本地 ACL 未同步。验证:设置→诊断→ACL 状态显示“missing root”。处置:下拉刷新,若仍失败,请 Owner 重新发送邀请链接。
- 现象:提示“分片校验失败”。可能原因:二维码被截断。验证:用电脑扫码工具核对 base64 长度小于 512 字符。处置:让发送者重新导出完整二维码,或改用加密链接。
最佳实践 10 条速查表
- 创建前先在测试网跑一遍完整流程,确认所有成员手机能解密。
- Owner 务必把第 1 片留给自己,且开启生物识别,防止云账户被盗即拿到两片。
- Viewer 仅用于会计或外部审计,不给员工发 Manager,避免私自增币。
- 容器命名带日期与用途,方便一年后归档清理。
- 任何成员换机,先在旧机“导出分片→加密分享”给新机,确认新机能解密后再卸载旧客户端。
- 若使用硬件钱包配对,把硬件分片设为第 5 片,降低手机丢失风险。
- 定期(建议季度)在“设置→容器→健康检查”运行分片冗余测试,系统会提示哪一片离线超过 30 天。
- 链上登记后,把交易哈希存到 Notion 公开页面,方便新成员验证 ACL。
- 不要在微信/QQ 直接传二维码,用 SafeW 内置“加密链接”有效期 24 h。
- 容器内若存有大额 BTC,建议叠加“Shadow Vault”归档,减少热触面。
FAQ:多人权限核心疑问
阈值 3/5 能改成 2/3 吗?
不能。容器一旦创建,阈值写入文件头且被角色哈希引用,必须重建容器并重新分发所有分片。
Viewer 能不能升级为 Manager?
可以。Owner 发起“角色变更”提案,链上登记新 Merkle root,旧容器无需重建,但所有成员需重新同步 ACL。
分片存在 SafeW 云是否安全?
云分片用你设备公钥再次加密,SafeW 服务器无法解密;若仍担心,可在创建时关闭“云托管”,手动多传一份给可信联系人。
容器会过期吗?
文件本身不过期;但链上角色合约若五年无调用,会被归档节点清理,导致新成员无法同步 ACL,需 Owner 重新触发一次“心跳”交易即可恢复。
收尾:下一步行动
SafeW 加密容器的多人权限把“私钥不落地”与“链上可审计”第一次同时做到开箱即用。读完本文,你只需打开 SafeW → 加密容器 → 新建共享,按 10 条速查表走完流程,就能在 15 分钟内完成一次 3/5 阈值的多签协作。先在小额测试网跑一遍,验证所有成员都能解密,再把生产资产转入;遇到任何“分片校验失败”或“ACL 不同步”,回到故障排查节按图索骥即可。祝你安全协作,无需再靠微信传助记词。
