Sui 上的 Seal:面向链上访问控制的可编程机密层
公有链为所有参与者提供同步且可审计的账本,但默认暴露所有数据。2025 年 9 月 3 日正式登陆 Sui 主网的 Seal,通过将链上策略逻辑与去中心化密钥管理结合,让 Web3 构建者能够精确控制谁能解密哪些载荷。
摘要
- 产品定位: Seal 是一个秘密管理网络,使 Sui 智能合约可以在链上强制执行解密策略,同时客户端使用基于身份的加密(IBE)保护数据,并依赖阈值密钥服务器派生密钥。
- 价值所在: 无需自建后端或依赖不透明的链下脚本,隐私与访问控制直接成为 Move 的一等公民。开发者可以将密文存储在任意位置(Walrus 是理想搭档),并持续控制读取权限。
- 适用人群: 推出代币门控内容、定时解锁、私密消息或遵循策略的 AI 代理的团队,可以接入 Seal SDK,将精力集中在产品逻辑而非复杂的密码基础设施上。
策略逻辑写在 Move 里
Seal 包含 seal_approve* Move 函数,用于定义某个身份字符串在何种条件下、由谁请求密钥。策略可以组合 NFT 持有、白名单、时间锁或自定义角色体系。用户或代理发起解密�请求时,密钥服务器会通过 Sui 全节点状态评估策略,仅在链上判断通过时才会批准。
由于访问规则属于你的链上包的一部分,因此它们是透明、可审计的,并可以与其他智能合约代码一起进行版本管理。治理更新也能像其他 Move 升级一样发布,具备社区审查和链上历史。
阈值密码学负责密钥管理
Seal 按照应用自定义的身份来加密数据。由开发者挑选的独立密钥服务器委员会共享 IBE 主密钥。当策略校验通过后,各服务器会为请求的身份导出密钥份额。当 t 台服务器响应后,客户端就能组合出可用的解密密钥。
你可以通过选择委员会成员(Ruby Nodes、NodeInfra、Overclock、Studio Mirai、H2O Nodes、Triton One 或 Mysten 的 Enoki 服务)以及设置阈值,在活性与机密性之间做权衡。想要更强的可用性?选择更大的委员会和更低的阈值。需要更高的隐私保障?提高法定人数,更多使用许可制服务商。
开发者体验:SDK 与会话密钥
Seal 提供 TypeScript SDK(npm i @mysten/seal),负责加解密流程、身份格式化与批量请求处理,还可以签发会话密钥,避免应用频繁访问时钱包不断弹窗。对于高级场景,Move 合约可以通过特殊模式请求链上解密,使得托管释放或抗 MEV 拍卖等逻辑能够直接在合约中执�行。
Seal 与存储层无关,因此团队可以将其与 Walrus 组合实现可验证的 Blob 存储,或根据运营需求使用 IPFS 甚至中心化存储。无论密文存在哪里,加密边界及其策略执行都会伴随数据移动。
使用 Seal 的最佳实践
- 建模可用性风险: 2-of-3 或 3-of-5 等阈值直接映射为可用性保障。生产部署应混合不同服务商、监测遥测数据,并在托管关键流程前签订 SLA。
- 注意状态差异: 策略评估依赖全节点执行
dry_run调用。避免依赖快速变化计数器或同一检查点内排序的规则,以免服务器之间出现临时不一致的审批结果。 - 规划密钥卫生: 派生密钥保存在客户端。请做好日志、轮换会话密钥,并考虑包裹加密——用 Seal 保护加密大载荷的对称密钥——以减小设备泄露时的影响范围。
- 为轮换做设计: 某次加密所使用的委员会在加密时就已固定。需要替换服务商或调整信任假设时,请预留通过重新加密迁移到新委员会的升级路径。
未来展望
Seal 的路线图包括验证者运营的 MPC 服务器、类似 DRM 的客户端工具以及抗量子 KEM 选项。对于正在探索 AI 代理、高价值内容或受监管数据流的团队而言,本次发布已经给出了清晰蓝图:在 Move 中编写策略,组合多元化的密钥委员会,并在 Sui 的信任边界内交付尊重用户隐私�的加密体验。
如果你打算在下一次发布中采用 Seal,可先用 2-of-3 的开放式委员会和简单的 NFT 门控策略做原型,然后迭代出与应用风险画像匹配的服务商组合与运营控制。