開發者圈子里流行著一個有意思的觀點：操作系統每過20年左右，就會出現一次跨越式發展機遇。

上世紀六十年代開始的大型機，到上世紀八十年代的個人計算機，再到本世紀初互聯網的崛起，無不和上述觀點相吻合：操作系統作為連接軟件和硬件的橋梁，不斷催生新應用，創造新藍海。

而正在進行中的數字化、智能化浪潮，應用場景早已呈現出指數級增長的態勢，操作系統的“20年周期律”再一次被印證。

和以往有所不同的是，數智化常常被加上“產業”的前綴，承載著生產力躍遷升級、產業深度轉型的使命。操作系統作為產業數智化的“底座”，既要有繁榮的生態，更要在安全上交出一份高分答卷。

01 “得安全者得天下”

時間回到1991年，21歲的Linus Torvalds編寫出了擁有10000行代碼的內核，選擇遵循GPL協議和GNU宗旨，將其命名為“GNU/Linux”。

接下來的幾年時間里，來自全世界的開發者，對Linus編寫的內核代碼進行了大量修改和補充，加入了GUI（圖形界面）、應用等缺失部分，逐漸形成了一個完善的操作系統，也就是外界所熟知的Linux。

可能對不少消費者而言，對Linux的熟悉度遠不如Windows、Android、iOS，但在服務器和數據中心領域，Linux卻有著90％以上的市場份額，即使是在 Microsoft Azure上，也有一半以上的安裝了Linux虛擬機。

不夸張地說，幾乎整個數字世界都運行在Linux上。

為什么對安全最為看重的服務器市場，偏偏鐘愛開源的Linux呢？查閱了大量資料后，我們找到了兩個答案。

第一個是開放性。

因為Linux是開源的，任何人都可以自由地查看、修改和重新分發其源代碼，賦予了Linux高度的靈活性和可定制性，衍生出了基于Linux的發行版操作系統，比如Ubuntu、RedHat、Debian、Centos；國內基于Linux內核的開源操作系統openEuler，以及基于openEuler的商業發行版操作系統銀河麒麟、統信UOS、麒麟信安等。

第二個是安全性。

借用《大教堂與集市》作者Eric的說法，“只要眼睛多，bug容易捉”。開源軟件匯集了不同領域的開發者，他們帶著熱情鉆研代碼，讓漏洞更容易被發現。谷歌曾在2022年公布一份調查報告：Linux上的漏洞平均只需25天即可修復，蘋果平均用了69天、Google為44天、微軟則要三個月左右。

但安全是相對而言的，哪怕開源有著很高的透明度，過去幾年時間里，和Linux相關的安全事件仍屢見不鮮。

2017年曝出了名為“Phoenix Talon”的一系列遠程執行漏洞，其中一個漏洞為嚴重級別、三個為高危級別，可導致DOS攻擊和遠程代碼執行；以及2021年轟動一時的紅杉漏洞，攻擊者可以通過漏洞，在默認安裝的Ubuntu、Debian、Fedora、CentOS等主機將權限提升到root權限。

時間來到2024年，操作系統進一步和AI接軌，其中openEuler開源操作系統提出了“OS for AI，AI for OS”的理念，并全面增強了AI能力。

譬如顛覆了傳統的命令行交互方式，基于大模型訓練出了 EulerCopilot，初步實現代碼輔助生成、問題智能分析、輔助運維等功能；通過異構資源統一管理與調度，實現CPU和XPU的深度融合，有效提升AI訓練和推理性能。

當操作系統加速向AI演進，怎么消除潛在的安全威脅呢？

02 “從古代戰艦到航母”

很長一段時間里，操作系統的安全策略都是“被動防御”。

就像Linux社區里曾普遍認為：“Security bugs are just bugs”，以至于安全防護長期依賴于bug修補。

問題在于，1991年的Linux內核僅有1萬行代碼，到了6.6版本的內核，代碼量早已超過3000萬行。巨大的代碼量，加上模塊之間的復雜交互關系，導致內核的安全漏洞頻出，僅2023年就爆出了710個安全漏洞。

即使開源在漏洞發現到修復的效率上有優勢，但漏洞產生到漏洞發現平均需要60天時間，漏洞發現到修補又需要20多天的時間，而且52%的補丁并沒有真正把漏洞修復。在這樣的背景下，主動防御策略逐漸成為開源社區的共識。

一個典型的例子，就是中關村實驗室聯手openEuler打造的HAOC復式內核，選擇在系統的設計中構建安全體系。

由于Linux的宏內核架構是扁平化的，所有模塊集中在同一個地址空間，相互之間沒有任何隔離，一旦某個模塊存在漏洞，可能導致整個內核被攻陷，無疑增加了構建主動防御策略的難度。

中關村實驗室提出了復式內核的設計思想，嘗試建立系統性的主動防護：

首先，重構了內核的結構。將內核劃分為中樞核心層、普通模塊層和高風險模塊層。

原先的內核被劃分到了普通模塊層，通過持續隨機化進行保護，提升漏洞供給的門檻；最關鍵的數據移入中樞核心層，比如業表、權限憑證、系統密鑰、防控制策略、敏感指令等；將內核擴展、設備驅動劃分到高風險模塊，并對每個模塊進行單獨隔離，避免風險擴散；同時對利用硬件實現層與層之間的隔離。

然后，進行關鍵數據擬態。通過地址布局的持續隨機化，阻止攻擊者找到關鍵數據。

復式內核解決了漏洞威脅的橫向移動，卻也面臨著一個棘手挑戰：內核中代碼交互十分頻繁，對開銷要求要足夠小。中關村實驗室梳理了處理器在內存訪問、代碼調試等硬件特性，巧用這些硬件實現了層級內的開銷隔離。最終實現了層次內的低開銷隔離，相較于傳統開銷方案，有著兩個數據級的性能優勢。

中關村實驗室研究員、中國科學院計算技術研究所研究員武成崗，在操作系統大會2024上的主題演講中打了一個形象比喻：“扁平化的宏內核架構像古代的戰艦一樣，攻擊者很容易完成攻擊，而復式內核更像現在的航母，里面有很多艙，有了艙以后，想實施攻擊就變得很難。”

正如現代化航母的戰斗力，HAOC內核提供了中樞核心、隔離執行保護、系統密鑰保護、策略保護、頁表保護、憑證保護、內核擴展隔離和驅動隔離在內的安全選項，并且得到了Linux eBPF基金會的高度認可。

03 開源的“中國范式”

2024年6月初，首個AI原生開源操作系統——openEuler 24.03 LTS正式發布，除了智能解決方案的升級，還集成了HAOC內核1.0。

經歷了近半年時間的市場檢驗后，架構式創新帶來的新機會和新應用正逐步顯現：

比如代碼的形式化驗證，Linux內核擁有3000萬行代碼，理論上很難進行形式化驗證，復式結構對內核進行劃分后，給形式化驗證提供了可行性；

再比如復式內核兼具宏內核的性能優勢和微內核的安全性，在智能網聯車、低空經濟、商業航天等領域有著誘人的應用前景。

就在操作系統大會2024上，HAOC內核2.0正式發布，相比HAOC內核1.0實現了多項能力的升級：

1、同時具備X86和ARM兩個主流架構的內核攻擊防護能力；
2、對頁表結構、權限憑證、訪問控制策略和密鑰進行安全防護，能夠阻斷常見的內核提權攻擊；
3、對高風險驅動進行隔離管控，阻止安全風險擴散到核心內核；
4、相比HAOC內核1.0，HAOC內核2.0性能提升了20%。

對于HAOC內核的未來發展，武成崗給出了一份清晰的路線圖：進一步探索復式內核架構的層內安全增強技術、繼續探索軟硬件協同隔離技術、驗證探索高等級的形式化，以及分期分批地推進復式內核成熟技術進入社區，包括復式隔離框架進入openEuler社區、層內增強進入openEuler社區，最終進入主線Linux。

個中原因并不難理解。

內核作為操作系統安全的基礎，如果內核被攻破，攻擊者可能獲得最高級的系統控制權限。積極參與操作系統的開源建設，和全世界的開發者一起推進復式內核的創新和應用，可以說是構筑數智化“安全底座”的不二法門。

幾乎是在同一時間，openEuler社區中來自華為的核心貢獻者正式成為Linux內核社區的CVE檢視成員，直接參與Linux社區CVE檢視，將從源頭上提高CVE識別質量，隨時感知CVE信息，進一步提升 openEuler社區在高危漏洞上的響應能力。

無論是復式內核的架構創新，還是深度參與Linux內核漏洞檢視，無不向外界釋放了這樣一個信號——中國開源力量的崛起。

在openEuler社區上，像中關村實驗室這樣的開發者和組織還有2萬多個，他們組成了109個技術興趣小組、進行了2446次技術決策、194678次代碼合入、參與了588個創新項目，極大地促進全球開源社區的繁榮與進步。

全球著名市場調研機構IDC的報告也印證了這一點：2024年中國新增服務器操作系統領域，openEuler的市場份額將達50%。開源五年來，openEuler系累計裝機量突破1000萬套，單2024年，openEuler的新增裝機量將達到500萬套。

同時也意味著，中國開發者和組織正在從開源社區的參與者，一步步成為建設者乃至主導者，不斷提升在操作系統領域的話語權。

04 寫在最后

30多年前，幾千名散布在世界各地的開發者，通過在社區中的溝通和協作，鬼斧神工般地造就了一個世界級的操作系統。

30多年后，當世界進入到數智化時代，迫切需要一個“安全底座”的時候，同樣有一群開發者默默貢獻著自己的力量。不同的是，這一次有了更多的中國面孔，特別是在內核這個核心環節，讓世界看到了更多的中國創新和智慧。