2025 年 11 月 21 日，在 2025 开放原子开发者大会上，vivo 正式向开放原子开源基金会捐赠以 Rust 语言自研的蓝河操作系统内核，并正式以 "BlueKernel" 命名成为开源孵化项目。

如果我们把视线拉长，会发现这个动作，可能是国产基础软件历史上最值得细品的一刻：一家公司用捐赠核心资产的方式，完成对操作系统生态的 " 反向输血 "。

图源：开放原子开源基金会

作为全栈使用 Rust 语言编写的操作系统，vivo 自研的蓝河操作系统（BlueOS）在 8 年的时间中稳步前行：从 2018 年立项，到 2023 年正式发布并应用于智能手表；再到 2024 年自研操作系统内核亮相，而后在 2025 年 7 月开源内核，并于 11 月捐赠内核 …… 这种起步早、投入大、持续深耕的创新实践，让 vivo 成为全球范围内 Rust 的先行者，BlueKernel 也正是在 vivo 内部经历了持续的打磨才面向开源社区。

毫无疑问，这是一场关于长期主义的坚持。在风起之前，就把地基打得足够深，现在，风来了。

从自研到开源，vivo 的升维游戏

国产操作系统的故事，历来不缺雄心壮志，缺的是 " 功成不必在我 " 的耐心。

事实上，如今不同设备对操作系统的要求截然不同，消费级产品追求快速迭代和功能丰富，车载、医疗等场景却将安全可靠性置于首位。试图用同一套内核满足所有需求，就像用一把钥匙开所有的锁，技术上可行，体验上妥协。

BlueKernel 的诞生，就是为了填补 AGI 时代必然出现的 " 新空白 "，用轻量化、高安全、广适配这一特性，在现有成熟方案中，探索出一条多内核创新的路径。

把 BlueKernel 捐赠开放原子开源基金会，在于 vivo 意识到一个操作系统的基本规律：这不是一场独角戏。

内核再好，如果只有 vivo 自己用，永远只是 " 公司项目 "，成不了生态。芯片厂商需要适配，开发者需要文档，第三方需要深度定制，这些都不是一家企业能面面俱到的。

图源：开放原子开源基金会

更重要的是，当行业都在探索下一代操作系统方向时，封闭意味着重复建设，开放才能形成合力。

这正是 vivo 选择捐赠的底层逻辑：把 BlueKernel 从 " 私产 " 变成 " 公地 "，当然，vivo 并未退场，而是用开源开放的姿态，邀请全行业共建共享。

这步棋并不新奇，业内也有一些机构通过类似的方式走向开源孵化。但 vivo 的时机把握得极准—— BlueKernel 已支持兆易创新、恒玄科技、瑞芯微等主流芯片厂商，覆盖 Cortex-M、Cortex-A、RISC-V 三大架构。

这意味着，vivo 已经把最难的 " 冷启动 " 阶段啃下来了，现在要把成熟的果实分享给整个行业，换取生态的指数级扩张。

当 BlueKernel 成为行业共有的基础设施，vivo 作为最早期的架构设计者和核心贡献者，将拥有最大的技术影响力和场景定义权。

用 Rust 写操作系统内核，这场冒险是否值得？

vivo 是国内最早投入 Rust 内核研发并开源的厂商，这样做本身就需要不小的勇气。但这里首先要回答一个问题：

内核到底是什么，为什么只有少数玩家玩得动？

操作系统内核，是整个软件世界的最底层。它管理 CPU、内存、外设，决定哪个程序什么时候运行，谁能用多少资源，谁不能碰谁的地盘，如果把操作系统比作一座城市，内核就是地底下的管网系统，一旦出问题，整座城都要瘫痪。

正因为处在最底层，内核的开发难度堪称地狱级。

因此，在操作系统这个 C 语言统治五十年的地盘，vivo 选择 Rust 无异于 " 在燃油车时代押注电动车 "。Rust 没有庞大的历史代码库，没有成熟的开发者生态，但 vivo 还是做了，而且选了最艰难的一条路——从内到外，用 Rust 构建整个内核。

图源：开放原子开源基金会

这背后，一个最重要的原因，就是 " 安全 "。

传统操作系统内核主要基于 C 语言开发，内存安全依赖开发者手动管理，漏洞往往于事后通过补丁修复。这种模式在 PC 时代尚可容忍，但在走向 AGI 时代的今天，已成为不可承受之重。一个智能门锁的安全漏洞，可能导致家庭安防系统瘫痪；一个车载系统的内存越界，可能直接威胁生命安全。

Rust 的革命性在于 " 从源头杜绝污染 "。它的所有权系统和生命周期检查，把内存安全问题从 " 运行时 " 提前到 " 编译期 "。简单说，Rust 编译器就像一个严苛的质检员，代码里有任何内存安全隐患，连编译这关都过不了。这相当于在工厂里就杜绝了次品，而非等到用户手上再召回。

但 Rust 的价值不止于技术安全，更在于生态卡位。

2024 年，Linux 内核开始正式接受 Rust 代码。这意味着，Rust 正在持续向基础设施语言演进。 vivo 此时重仓 Rust，相当于在下一轮行业标准制定中提前占座。

问题在于，为什么偏偏是 vivo？

全球科技巨头中，微软、Google、亚马逊都在投入 Rust，但它们的核心业务与 Rust 的内核级优势并不完全契合。微软需要兼容历史；Google 需要维护庞大的 Android 生态；亚马逊更关注云端。而 vivo 作为终端厂商，面向即将到来的 AGI 时代，面临的是最纯粹的安全与效率问题，它需要一个轻量、安全、能横跨全场景的内核；而且作为一个从 0 到 1 的自研项目，它没有历史包袱。

这种 " 轻装上阵 " 的优势，让 vivo 得以成为 Rust 内核的最佳实践者。

BlueKernel，能否成为 AGI 时代的 " 水和电 "？

技术再优雅，也需要场景落地。BlueKernel 的真正考验，在于它能否成为 AGI 时代的 " 水和电 " ——无形、必需、无处不在。

而要理解它的潜力，必须回到 vivo 给它的三个核心定位：安全、轻量、通用。

这三个词听起来像宣传口号，但在操作系统内核层面，每一项都是望尘莫及的技术门槛。

在安全方面，如上文所说，BlueKernel 使用 Rust 语言开发，适用于嵌入式平台和移动设备，通过编译期静态规则保障内存安全；同时，在运行时则依托智能指针灵活管理内存，无额外内存回收性能损耗，实现内存安全从被动防御到主动掌控的转变。

得益于对基础数据结构高性能、低开销的设计，BlueKernel 对硬件资源的需求显著降低，最小内核内存占用仅 13KB，能够以更低的成本满足各类终端产品的需求。

目前 Rust 已支持 ARM Cortex-M/A、RISC-V 等多种架构，这意味着开发者写一次驱动，就能在不同芯片上运行。同时它兼容 POSIX 接口标准，让现有 Linux 生态的应用可以低成本迁移。这种通用性极大降低了 AGI 时代的碎片化开发成本。

这三个特性组合起来，构成了 BlueKernel 的场景穿透力。

比如，在智能穿戴设备上，最低 13KB 的内存占用让主芯片可以把更多资源留给其它模块；内存安全保证了用户隐私数据不会被恶意程序窃取；跨架构适配让厂商自由切换芯片供应商，不被单一平台绑定。

在车载 ECU 上，轻量特性让 BlueKernel 能跑在成本几美元的低端 MCU 上，降低整车电子系统成本；安全特性让关键控制单元（如刹车、转向）与信息娱乐系统实现硬隔离，保障复杂场景下的行车稳定性。通用性则让 Tier1 供应商可以为不同车企复用软件模块，缩短开发周期。

随着 AI 与更多硬件设备的深度融合，这三个特性更显关键。

回到文章开头，vivo 捐赠 BlueKernel 的举动，放在更大的坐标下看，并非孤例。大家越来越明白一个道理：

在操作系统这样的底层战场，单打独斗走不远，只有先把蛋糕做大，才有持续分食的可能。

过去我们总是跟着别人的标准跑，现在至少在内核这层，开始有厂商愿意把压箱底的东西拿出来，让全行业站到同一个起点上折腾。Rust 生态能不能成？AGI 时代的操作系统该长什么样？这些问题的答案，最终得靠无数开发者、芯片厂商和硬件企业一起试出来。

vivo 先走了这一步，接下来看大家的了。