功能定位：为什么“远程清缓存”比锁屏更重要

SafeW 把浏览器缓存、隐私容器指纹与 Vault 私钥分仓存储，但三者都落在本地加密区。设备一旦脱离物理控制，攻击者仍可尝试芯片级离线破解（如 Teensy 暴力读取 NAND）。因此“远程清除”并非简单删文件，而是让 TEE 安全子系统收到指令后立即丢弃 LSK（Local Storage Key），即使芯片被移植也无法解密剩余碎片。经验性观察：在 2026 年 2 月灰产报告里，未开远程擦除的安卓旧机 72 小时内被提币成功率约 18%，而开启后降为 0.3%。

换句话说，锁屏只是拖延时间，擦除才是让数据“物理消失”。在边境、会场或出租车等短暂失控场景里，30 秒的远程响应窗口足够把攻击者的收益压到接近零。

版本与权限前提

远程清缓存依赖 SafeW Cloud Relay 与系统级 Device Admin（安卓）或 MDM 描述文件（iOS）。最低版本：Android v5.6.2 build 61202、iOS v5.6.2 (61202.0)。桌面端因无 SIM 基站定位，目前仅支持“本地网络清除”，不在本文讨论范围。

经验性观察：国内定制 ROM 常把“设备管理器”入口隐藏，若设置页搜索不到，可尝试在系统设置顶部搜索框输入“受信任代理”或“设备策略”即可定位。

必须提前打开的开关

系统设置 ▸ 安全 ▸ 设备管理 ▸ 启用“SafeW Admin”
SafeW ▸ 设置 ▸ 隐私中心 ▸ 远程清除 ▸ 打开“允许定位+擦除”
至少绑定一个“恢复联系分片”（邮箱或 Telegram 号），用于二次 OTP

以上三步缺任何一环，指令送达后都会被系统拒收，且不会在云端留下失败日志，排查难度极高。

操作路径：十分钟内完成首次配置

Android 路径（以原生 15 为例）

打开 SafeW ▸ 右上角头像 ▸ 隐私中心 ▸ 远程清除
按提示跳转到“设备管理”激活页，勾选“擦除数据”权限，返回
设定触发条件：连续离线 30 分钟 + SIM 被移除任一成立即擦除
生成 6 位擦除 PIN，抄写至离线纸库；此 PIN 只在手动远程指令时使用
测试：用另一台手机发送短信指令“SAFEW#WIPE#PIN”至本机，10 秒内应收到“已执行”回执，同时通知栏出现红色警示

示例：Pixel 8 在飞行模式下拔出 SIM，系统 28 秒后即自动销毁 SafeW 沙盒，整个过程无需亮屏。

iOS 路径（iOS 19.3）

SafeW ▸ 设置 ▸ 隐私中心 ▸ 远程清除 ▸ 启用“iCloud Relay 擦除”
系统会要求安装“SafeW MDM 描述文件”，允许后自动跳转到“设置 ▸ 通用 ▸ SafeW 与设备管理”
回到 SafeW，设定“丢失模式触发”：关闭查找我的 iPhone 或拔卡即视为丢失
生成并备份 PIN；iOS 版额外提供“生物识别二次确认”开关，建议打开，防止误触发
测试：在电脑浏览器访问 icloud.com/find，选择本机 ▸ 丢失模式 ▸ 输入同一 PIN，30 秒内 SafeW 缓存区应被清空，桌面图标变灰并提示“数据已销毁”

经验性观察：MDM 描述文件首次安装后需重启 SpringBoard，若图标未变灰，可强制重启一次再试。

触发方式总览：四种入口与取舍

入口	网络要求	速度	适用场景
短信指令	基站即可	5–10 s	出国未开数据漫游
SafeW Web 控制台	互联网	3–5 s	电脑在身边，手机丢家里
Telegram 机器人（官方）	互联网	5–8 s	已绑定 Telegram 二次分片
iCloud 丢失模式	互联网	10–30 s	iOS 专用，需同 Apple ID

速度差异主要来自指令中继跳数：短信需经运营商 SMSC，Telegram 要过 MTProto 代理，而 Web 控制台与 SafeW 云长连通道直接复用 HTTP/3，延迟最低。

例外与边界：哪些数据不会被清

远程擦除只针对 SafeW 私有沙盒：/Android/data/com.safew.browser/ 与 iOS App Group 内的 Library/Caches。以下数据不在作用域：

系统相册、下载文件夹内手动“另存为”的截图
已导出到 IPFS/Filecoin 的加密备份，因密钥仅你持有，文件本身仍存链上
TEE 中仅用于 FIDO 签名的 attestation key，属于系统级，SafeW 无法自毁

经验性观察：部分国产安卓固件会把外部存储挂载为“模拟外部”，导致 /sdcard/Android/data 实际可被 OTG 读取。若你曾把 Vault 导出文件“分享到本地”，建议额外启用“全盘加密+启动密码”。

回退方案：误触发后如何抢救

一旦收到擦除短信，本地会立即进入“不可逆阶段”，但云端备份可在新设备 30 秒内拉回。前提：你曾打开“端到端加密云备份”并记住 12 词主密钥。步骤：

新装 SafeW ▸ 开始恢复 ▸ 输入 12 词
选择最近一次备份（默认显示 3 个时间点）
等待 IPFS 热层拉取，约 15–30 秒；完成后 Vault 地址、标签、Cookie 规则全部还原
若此前启用“隐私容器”，需重新下载容器镜像（单容器约 7 MB，200 个并行约 1.4 GB，Wi-Fi 下 3 分钟）

注意：备份频率默认 24 小时一次，若误触发前未联网，最近一次快照可能落后数天，请把“即时备份”开关也一并打开。

故障排查：指令发出后无回执

现象	可能原因	验证动作	处置
短信无回执	SIM 被拔/基站拒收	用 Find My iPhone 或 Google Find My Device 看是否在线	改用 Web 控制台或 Telegram 入口
Web 控制台显示“设备未找到”	SafeW 云备份被手动关闭	查看邮箱是否收到“云同步暂停”警告	重新开启云同步并等待 5 分钟再试
Telegram 机器人提示“PIN 错误”	大小写或空格	重新输入 6 位数字 PIN	若连续 5 次错误，机器人锁定 30 分钟

性能与合规副作用

1. 擦除后首次启动 SafeW，需重新编译隐私容器指纹，CPU 占用会飙至 85% 约 40 秒，手机发热明显，属正常。

2. 若你在欧盟节点使用 dSafeW，擦除指令日志仍会被节点记录（仅保存加密哈希，不含内容）。依据 GDPR 第 17 条，你可发邮件至 [email protected] 申请“被遗忘”，官方承诺 72 小时内完成链上哈希覆盖。

适用/不适用场景清单

强烈推荐

经常出差、需要过海关的 DeFi 用户——边境警察可强制解锁手机，但无法阻止远程擦除
公司财务多签钱包——丢机后先擦除再补签，避免内部竞争关系引发内鬼抢跑

不建议开启

给父母安装的“只浏览不存币”版本——误触概率高，回退流程对老人太复杂
Android 7 以下旧机——缺乏 TEE，擦除只是普通删除，可被取证软件恢复

最佳实践 6 条

擦除 PIN 与解锁密码不要相同，且定期更换（建议 90 天）
出国前把“触发离线时间”调到 120 分钟，防止航班模式误杀
把 Telegram 机器人加入“允许通知”白名单，确保指令通道实时可达
每季度做一次“模拟丢失”演练：用旧机发指令，确认备份能在 5 分钟完成恢复
若使用公司 MDM，优先用企业控制台统一擦除，避免个人 PIN 泄露
擦除成功后，记得在链上撤销旧设备的 session key，防止重放盗用

未来版本展望

SafeW Labs 在 2026-Q3 路线图中提到“抗量子擦除”：一旦 CRYSTALS-Dilithium 被内核合入，远程指令将改用环签名+哈希树，节点即使被扣押也无法确认是哪台设备发起的擦除。届时日志匿名性会进一步提升，但指令体积增大 3 倍，对 2G 基站可能不友好。若你常驻偏远地区，建议保留现有 PIN 通道作为降级方案。

常见问题

擦除后能否暂停，让数据恢复？

不能。TEE 丢弃 LSK 属于硬件级动作，一旦执行即永久失效。唯一补救是通过此前备份在新设备恢复。

同一 PIN 能否多设备共用？

官方不限制，但强烈建议一机一码。若共用，一旦泄露所有设备将同时被擦除，风险集中。

无 SIM 的 Wi-Fi 平板能否远程清？

可以，但只能走 Web 控制台或 Telegram 入口；短信通道因无基带将被跳过。

远程擦除会影响系统 OTA 更新吗？

不会。擦除范围仅限 SafeW 沙盒，系统分区完好，OTA 仍可正常推送与安装。

是否支持定时自动擦除？

目前仅支持“离线时长+SIM 移除”两类触发，尚未开放自定义定时。官方称将在 5.7 系列评估“倒计时擦除”功能。

风险与边界

远程擦除不能抵御“在线中间人”——若攻击者已 root 并植入重放模块，可在指令到达前劫持。此时应依赖 TEE 的本地验证签名，但 Android 7 以下缺乏 Keymaster 2.0，验证链可被绕过。对这类旧机，物理隔离才是终极方案。

结论

远程清除本地缓存是 SafeW 把“冷钱包级自毁”下沉到日常浏览器的标志性动作。只要提前 10 分钟完成 Device Admin 或 MDM 授权，后续无论短信、Web 还是 Telegram 都能 30 秒内让设备变“砖”，且不影响链上资产。记得把备份与演练做成例行流程，否则真到丢机那一刻，再完善的擦除也救不回没有密钥的你自己。