2025年11月21日，在2025开放原子开发者大会上，vivo正式向开放原子开源基金会捐赠以Rust语言自研的蓝河操作系统内核，并正式以“BlueKernel”命名成为开源孵化项目。

如果我们把视线拉长，会发现这个动作，可能是国产基础软件历史上最值得细品的一刻：一家公司用捐赠核心资产的方式，完成对操作系统生态的“反向输血”。

图源：开放原子开源基金会

作为全栈使用Rust语言编写的操作系统，vivo自研的蓝河操作系统（BlueOS）在8年的时间中稳步前行：从2018年立项，到2023年正式发布并应用于智能手表；再到2024年自研操作系统内核亮相，而后在2025年7月开源内核，并于11月捐赠内核……这种起步早、投入大、持续深耕的创新实践，让vivo成为全球范围内Rust的先行者，BlueKernel也正是在vivo内部经历了持续的打磨才面向开源社区。

毫无疑问，这是一场关于长期主义的坚持。在风起之前，就把地基打得足够深，现在，风来了。

从自研到开源，vivo的升维游戏

国产操作系统的故事，历来不缺雄心壮志，缺的是“功成不必在我”的耐心。

事实上，如今不同设备对操作系统的要求截然不同，消费级产品追求快速迭代和功能丰富，车载、医疗等场景却将安全可靠性置于首位。试图用同一套内核满足所有需求，就像用一把钥匙开所有的锁，技术上可行，体验上妥协。

BlueKernel的诞生，就是为了填补AGI时代必然出现的“新空白”，用轻量化、高安全、广适配这一特性，在现有成熟方案中，探索出一条多内核创新的路径。

把BlueKernel捐赠开放原子开源基金会，在于vivo意识到一个操作系统的基本规律：这不是一场独角戏。

内核再好，如果只有vivo自己用，永远只是“公司项目”，成不了生态。芯片厂商需要适配，开发者需要文档，第三方需要深度定制，这些都不是一家企业能面面俱到的。

图源：开放原子开源基金会

更重要的是，当行业都在探索下一代操作系统方向时，封闭意味着重复建设，开放才能形成合力。

这正是vivo选择捐赠的底层逻辑：把 BlueKernel从“私产”变成“公地”，当然，vivo并未退场，而是用开源开放的姿态，邀请全行业共建共享。

这步棋并不新奇，业内也有一些机构通过类似的方式走向开源孵化。但vivo的时机把握得极准——BlueKernel已支持兆易创新、恒玄科技、瑞芯微等主流芯片厂商，覆盖Cortex-M、Cortex-A、RISC-V三大架构。

这意味着，vivo已经把最难的“冷启动”阶段啃下来了，现在要把成熟的果实分享给整个行业，换取生态的指数级扩张。

当BlueKernel成为行业共有的基础设施，vivo作为最早期的架构设计者和核心贡献者，将拥有最大的技术影响力和场景定义权。

用Rust写操作系统内核，这场冒险是否值得？

vivo是国内最早投入Rust内核研发并开源的厂商，这样做本身就需要不小的勇气。但这里首先要回答一个问题：

内核到底是什么，为什么只有少数玩家玩得动？

操作系统内核，是整个软件世界的最底层。它管理CPU、内存、外设，决定哪个程序什么时候运行，谁能用多少资源，谁不能碰谁的地盘，如果把操作系统比作一座城市，内核就是地底下的管网系统，一旦出问题，整座城都要瘫痪。

正因为处在最底层，内核的开发难度堪称地狱级。

因此，在操作系统这个C语言统治五十年的地盘，vivo选择Rust无异于“在燃油车时代押注电动车”。Rust没有庞大的历史代码库，没有成熟的开发者生态，但vivo还是做了，而且选了最艰难的一条路——从内到外，用Rust构建整个内核。

图源：开放原子开源基金会

这背后，一个最重要的原因，就是“安全”。

传统操作系统内核主要基于C语言开发，内存安全依赖开发者手动管理，漏洞往往于事后通过补丁修复。这种模式在PC时代尚可容忍，但在走向AGI时代的今天，已成为不可承受之重。一个智能门锁的安全漏洞，可能导致家庭安防系统瘫痪；一个车载系统的内存越界，可能直接威胁生命安全。

Rust的革命性在于“从源头杜绝污染”。它的所有权系统和生命周期检查，把内存安全问题从“运行时”提前到“编译期”。简单说，Rust编译器就像一个严苛的质检员，代码里有任何内存安全隐患，连编译这关都过不了。这相当于在工厂里就杜绝了次品，而非等到用户手上再召回。

但Rust的价值不止于技术安全，更在于生态卡位。

2024年，Linux内核开始正式接受Rust代码。这意味着，Rust正在持续向基础设施语言演进。 vivo此时重仓Rust，相当于在下一轮行业标准制定中提前占座。

问题在于，为什么偏偏是vivo？

全球科技巨头中，微软、Google、亚马逊都在投入Rust，但它们的核心业务与Rust的内核级优势并不完全契合。微软需要兼容历史；Google需要维护庞大的Android生态；亚马逊更关注云端。而vivo作为终端厂商，面向即将到来的AGI时代，面临的是最纯粹的安全与效率问题，它需要一个轻量、安全、能横跨全场景的内核；而且作为一个从0到1的自研项目，它没有历史包袱。

这种“轻装上阵”的优势，让vivo得以成为Rust内核的最佳实践者。

BlueKernel，能否成为AGI时代的“水和电”？

技术再优雅，也需要场景落地。BlueKernel的真正考验，在于它能否成为AGI时代的“水和电”——无形、必需、无处不在。

而要理解它的潜力，必须回到vivo给它的三个核心定位：安全、轻量、通用。

这三个词听起来像宣传口号，但在操作系统内核层面，每一项都是望尘莫及的技术门槛。

在安全方面，如上文所说，BlueKernel使用Rust语言开发，适用于嵌入式平台和移动设备，通过编译期静态规则保障内存安全；同时，在运行时则依托智能指针灵活管理内存，无额外内存回收性能损耗，实现内存安全从被动防御到主动掌控的转变。

得益于对基础数据结构高性能、低开销的设计，BlueKernel对硬件资源的需求显著降低，最小内核内存占用仅13KB，能够以更低的成本满足各类终端产品的需求。

目前Rust已支持ARM Cortex-M/A、RISC-V等多种架构，这意味着开发者写一次驱动，就能在不同芯片上运行。同时它兼容POSIX接口标准，让现有Linux生态的应用可以低成本迁移。这种通用性极大降低了AGI时代的碎片化开发成本。

这三个特性组合起来，构成了BlueKernel的场景穿透力。

比如，在智能穿戴设备上，最低13KB的内存占用让主芯片可以把更多资源留给其它模块；内存安全保证了用户隐私数据不会被恶意程序窃取；跨架构适配让厂商自由切换芯片供应商，不被单一平台绑定。

在车载ECU上，轻量特性让BlueKernel能跑在成本几美元的低端MCU上，降低整车电子系统成本；安全特性让关键控制单元（如刹车、转向）与信息娱乐系统实现硬隔离，保障复杂场景下的行车稳定性。通用性则让Tier1供应商可以为不同车企复用软件模块，缩短开发周期。

随着AI与更多硬件设备的深度融合，这三个特性更显关键。

回到文章开头，vivo捐赠BlueKernel的举动，放在更大的坐标下看，并非孤例。大家越来越明白一个道理：

在操作系统这样的底层战场，单打独斗走不远，只有先把蛋糕做大，才有持续分食的可能。

过去我们总是跟着别人的标准跑，现在至少在内核这层，开始有厂商愿意把压箱底的东西拿出来，让全行业站到同一个起点上折腾。Rust生态能不能成？AGI时代的操作系统该长什么样？这些问题的答案，最终得靠无数开发者、芯片厂商和硬件企业一起试出来。

vivo先走了这一步，接下来看大家的了。