摘要：Android曾是“自由”的代名词。若你不喜欢手机的默认UI或预装臃肿软件，只需刷入一款定制ROM（即Android系统衍生版本的通俗说法）即可解决问题。但这一黄金时代正迅速消逝——又一款主流Android衍生系统近期陷入了困境。

Android曾是“自由”的代名词。若你不喜欢手机的默认UI或预装臃肿软件，只需刷入一款定制ROM（即Android系统衍生版本的通俗说法）即可解决问题。但这一黄金时代正迅速消逝——又一款主流Android衍生系统近期陷入了困境。

专注隐私保护的主流Android发行版CalyxOS，于8月初突然宣布暂停后续版本更新。尽管该项目并未彻底解散，但在可预见的未来，用户将无法获得任何系统更新。与此同时，项目中两位最知名的负责人也已离职。毋庸置疑，对任何操作系统而言，“零安全更新”都等同于死刑判决，而对于主打隐私保护的CalyxOS来说，这一问题更具毁灭性。

毕竟，我们已不再像2010年时那样热衷于“刷机”了。大众对定制ROM的兴趣日渐衰退，本就加剧了其困境，而谷歌对Android系统的一系列改动，更是让局面雪上加霜。CalyxOS并非首个受此压力而步履维艰的项目，恐怕也不会是最后一个。

CalyxOS是一款以隐私保护为核心的操作系统，既能提供“去谷歌化”的使用体验，又保留了Android系统的大部分现代便捷功能。

尽管多年来我个人更青睐其竞品GrapheneOS，但CalyxOS也积累了不少忠实用户。直到不久前，CalyxOS仍宣称支持超过24款设备，包括多款摩托罗拉手机、谷歌Pixel系列，以及Fairphone。这与GrapheneOS形成了鲜明对比：后者对设备安全特性有严格要求，目前仅谷歌Pixel系列能满足其标准；此外，GrapheneOS只支持仍获厂商官方支持的设备，而CalyxOS直到近期才停止对2020年老机型的支持。

不过，GrapheneOS与CalyxOS在安全策略和谷歌应用支持上存在显著差异。CalyxOS采用microG（谷歌Play服务库的开源替代方案，很多国内用户加载GMS框架必备），简言之，用户无需安装谷歌的专有应用套件，就能体验Android手机的大部分常用功能。而GrapheneOS则对所有谷歌应用进行深度沙盒隔离，使其无法访问手机中的用户数据。

GrapheneOS还通过多项新功能强化并扩展了Android的安全模型，除了上述提到的谷歌应用沙盒隔离，还包括全新的权限管理、紧急密码（DuressPIN）等功能。CalyxOS在安全防护的激进程度上虽不及前者，但对于希望摆脱谷歌生态影响的用户来说，仍是一个极具实用性的选择。

遗憾的是，CalyxOS项目如今进入了暂停期，且预计将持续4至6个月（甚至更久）。项目团队的一位匿名成员在公开信中表示，需要时间“升级支撑CalyxOS开发的技术基础设施”并完善文档。定制ROM项目暂停更新并非首次：此前Paranoid Android和Pixel Experience也曾经历开发中断，最终彻底停更。不过CalyxOS团队向用户承诺“项目会回归”，只是目前外界对其后续计划知之甚少，仅知晓核心领导层已突然离职。

随着CalyxOS暂停更新，GrapheneOS已成为目前仅存的主流“隐私优先”Android系统。该项目在诸多方面都做得十分出色，但它仍存在局限性：谷歌Pixel系列手机仅在少数国家发售，这使得GrapheneOS的获取门槛相对较高；此外，许多用户对“想要摆脱谷歌控制，却必须购买谷歌硬件”这一现状感到不满。即便如此，对追求极致隐私保护的用户而言，它已是当下唯一的选择。

CalyxOS团队短期内几乎不可能为新款Pixel 10系列开发适配版本，甚至曾一度下架了所有历史版本的下载链接（目前已恢复）。但即便如此，我也不建议使用一款“无更新可期”的非官方支持系统。更何况，团队表示未来恢复更新后，所有用户都必须重新刷机（清除数据全新安装）才能使用新版本。目前CalyxOS能否真正回归仍是未知数，但其面临的困境绝非个例。

多年来，硬件选择受限是定制ROM开发衰退的重要原因。曾几何时，LG等品牌为开发者提供了极高的定制自由度，但这些品牌早已退出智能手机市场；索尼虽仍在坚持，但因其市场定位过于小众，难以形成足够规模的开发者社区。

最令人惋惜的转变或许来自一加。品牌初期以“支持轻松解锁bootloader（引导加载程序）”和“积极参与开发者论坛互动”吸引极客群体，其首款机型OnePlus One更是首款预装CyanogenMod（现更名为LineageOS）的主流手机。然而随着时间推移，一加逐渐向母公司OPPO的策略靠拢：为开发者提供的资源越来越少，对曾助力品牌崛起的开发者社区也近乎无视。

如今的手机设备普遍存在bootloader限制，定制ROM领域陷入“苟延残喘”的境地也就不足为奇了。

目前西方Android市场开放bootloader限制的主流品牌有三星、摩托罗拉和谷歌，至于国内品牌：99.9%的新产品不允许解锁——你想删我的广告，还是删我的应用市场？

谷歌也越来越封闭，尽管Pixel系列原则上仍支持开放定制，但已不再提供当年Nexus系列那般充足的开发者支持（正是这种支持让Nexus成为极客们的实验首选）。更不利的是，谷歌如今已不再在Android开源项目（AOSP）代码中，提供Pixel设备的驱动二进制文件和设备树（这些是定制ROM适配的关键资源）。

最后不得不提三星——其bootloader政策堪称行业内最严格。三星设备中内置了一枚“熔断保险丝”，一旦用户解锁bootloader，这枚保险丝就会永久触发；即便之后重新锁定bootloader，保险丝也无法恢复初始状态。

三星设备的保险丝触发后，用户将无法使用三星支付（SamsungPay）、安全文件夹（SecureFolder）以及部分企业应用；更严重的是，“Knox安全芯片触发”的设备在二手市场上的保值率会大幅下降。而最新迹象显示，三星可能在下一代OneUI系统中，彻底取消对bootloader解锁的支持。

仅2025年一年，谷歌和三星就可能对定制ROM领域造成了沉重打击——而这还只是硬件层面的限制。软件层面的枷锁同样严峻，且几乎是如今Android定制ROM数量锐减的核心原因。

许多人或许还记得，谷歌的SafetyNet验证曾是定制ROM开发面临的首个重大障碍。该功能会检测设备完整性，若验证失败，部分应用（尤其是银行和支付类App）将拒绝运行。不过，开发者通过各种创新方法最终突破了SafetyNet的限制，许多发烧用户仍能继续使用Android衍生系统。

可惜好景不长，谷歌随后推出了Play Integrity API（应用完整性接口），其验证机制比SafetyNet更为严格，多数定制ROM都无法满足其检测要求。即便用户不获取root权限，且在刷入定制ROM后重新锁定bootloader，仍有少数应用会向谷歌服务器“上报设备状态”，检测手机是否与出厂状态一致。幸运的是，目前多数应用并不要求严格的Play Integrity验证，用户在GrapheneOS上使用所有银行App时均未遇到问题。但显而易见，未来谷歌完全可以借助这一工具，进一步压制第三方Android系统的生存空间。

来源：简明科学指南