定义:Air Gap(直译"空气间隙")是一种安全设计——敏感设备与任何联网终端之间不存在任何电子通信通道。不通过 USB、不通过蓝牙、不通过 Wi-Fi、不通过 NFC——签名请求和签好的交易通过间接介质传递:扫摄像头读二维码、插 SD 卡拷文件、或者人手输入。

这个思路最早来自军政密码系统——存储机密的电脑被关在一个房间里,整栋楼里没有一根线连过去。后来被搬到加密资产的硬件钱包领域,成了"比 USB 接口的 硬件钱包 更高一档"的冷储方案。

它在硬件钱包里怎么实现

典型流程——你在联网手机的钱包 App 里组装好一笔交易,App 把内容编码成一个二维码显示在屏幕上。你拿 Air Gap 硬件钱包(Keystone Pro、Cobo Tablet、Ngrave Zero)对着扫一下,内部摄像头读到数据。设备屏幕显示交易详情——你按下签名键——它再把已签名的交易编码成新二维码显示。你用手机扫回去,App 广播上链。整个过程没有一根线、没有一束无线电波连接两台设备。即便联网端被植入恶意软件,它也无法反向通过二维码摄像头钻进 Air Gap 钱包。

对比 USB / 蓝牙连接的硬件钱包

普通 Ledger / Trezor 通过 USB 连主机时,主机端应用经 HID 协议跟设备通信。这个通道是双向的,意味着精心构造的攻击可以试图发送非预期指令,或者在固件漏洞上做文章(2018 年 wallet.fail 团队就演示过 Ledger 几个 PIN 旁路)。蓝牙还会多一层"无线广播被劫持"的可能。Air Gap 把这条双向通道整个去掉——理论上限更高。代价是操作慢,每笔要扫两次二维码,复杂合约甚至要扫三四张分屏。

它不是万能

三个常被忽视的弱点。安全芯片 是另一回事——你 Air Gap 不代表设备里私钥存储就坚不可摧,物理被偷还是看 SE 本事。,二维码本身可编码恶意数据——被替换过的钱包 App 生成的二维码里"显示金额"和"实际编码金额"可能不一致,2022 年有过两起类似攻击报道。,Air Gap 阻止不了你签错字。所有冷存储方案的最后一道防线,永远是看清楚屏幕上要签的是什么