GrapheneOS

GrapheneOS 是針對 Pixel 硬體的強化安全 Android 發行版 — 每次談到手機層級威脅模型時就會被推薦的尊重隱私的行動作業系統。從硬體信任根到最底層的全驗證啟動、作為選擇加入應用程式的沙盒化 Google Play Services（非特權作業系統層級）、強化記憶體分配器，以及由安全性驅動的硬體需求（僅限 Pixel，因為 Pixel 是唯一出貨解鎖 bootloader + 重新鎖定 bootloader + Titan-M2 級安全晶片的 Android-OEM 產品線）。收錄為A 級 · 編輯精選，因為它是唯一擁有可信的「我改了作業系統但沒失去安全模型」故事的 Android 發行版。

背景。 GrapheneOS 由 Daniel Micay 於 2014 年創始（最初稱為 CopperheadOS）；目前的 GrapheneOS 組織自 2018 年分支以來一直是穩定的大本營。由使用者捐贈資助，無商業支持者或廣告營收模型。原始碼位於 github.com/GrapheneOS。積極開發，以大約每週的安全更新與 Pixel 每月 Android 安全公告修補節奏同步 — GrapheneOS 使用者通常在 Pixel 原廠發布後數日內收到安全修補，有時透過專案自身的回溯移植提前於主流 Pixel ROM。該作業系統出貨時無預先安裝 Google 服務；使用者選擇加入沙盒化 Google Play（與 Google 在原廠 Android 中出貨的特權系統應用層級分離），或完全跳過 Google，使用 F-Droid + Aurora Store + 直接 APK 安裝。

您信任的是什麼。 硬體層級安全性：從 Titan-M2 / Tensor 安全晶片向上貫穿核心、作業系統和使用者空間的驗證啟動；如果啟動鏈中的任何部分被篡改，手機會拒絕啟動或顯著警告。沙盒化：Android 應用沙盒 + GrapheneOS 的強化 malloc + 每應用權限控制（網路存取、感測器、聯絡人、位置 — 皆為精細且可按應用程式切換）。無供應商監控：預設無任何 Google 服務；沙盒化 Play Services 可作為選擇加入使用（需要 Play Services 的應用程式可看到它們，但在受限環境中）。網路：每應用網路權限（您可拒絕任何應用程式的網路）、每應用 VPN 路由，且該作業系統支援無 SIM 卡或使用類似 silent.link 的無 KYC eSIM 運作。更新完整性：簽章的 OTA 更新根據專案的簽章金鑰進行驗證 — 針對更新通道的供應鏈攻擊將需要程式碼簽章受損和構建可重現性失誤兩者兼具。

營運規格。 支援的硬體：Pixel 6 系列起（Pixel 6/6a/6 Pro 至 Pixel 9 Pro Fold 及 Tensor 級後繼機種）。較舊的 Pixel（4/4a/4 XL/5/5a）已不再由 Google 提供安全支援，因此 GrapheneOS 僅為目前由 Google 支援的硬體出貨延伸支援建構。安裝：位於 install.grapheneos.org 的基於網頁的安裝程式在 Chrome / Brave / Vanadium 中執行，並透過 WebUSB 進行刷機 — 大多數使用者無需命令列 `fastboot`。應用程式：F-Droid（自由/自由授權目錄）、Aurora Store（代理 Play Store 元數據存取）、Accrescent（尊重隱私的 Android 商店）、沙盒化 Play Services 供否則無法運作的應用程式使用。瀏覽器：隨附 Vanadium，GrapheneOS 的強化 Chromium 分支，具備比原廠 Chrome 更嚴格的漏洞利用緩解和更好的指紋防禦。設定檔：完整多使用者 / 多設定檔支援，每設定檔隔離應用程式集 — 對在一台裝置上進行工作/個人/匿名分離非常有用。

理念。 GrapheneOS 的編輯差異化因素是「由安全性驅動的硬體需求」論點。僅限 Pixel 的限制讓希望在現有 Samsung / OnePlus / Xiaomi 上安裝的使用者感到挫折 — 但原因是技術性的：GrapheneOS 需要可解鎖 + 可重新鎖定的 bootloader（以便您可以安裝自訂作業系統，然後重新鎖定回到驗證啟動狀態）、完整的韌體更新存取（以便可交付 Pixel 級的每月安全性修補），以及具備記錄證明路徑的安全晶片（Pixel 6+ 上的 Titan-M2）。Samsung/OnePlus 手機要麼不支援解鎖後重新鎖定，要麼不以保留安全模型的方式暴露韌體更新路徑。因此，僅限 Pixel 的選擇並非勢利 — 而是「我們只能在支援它的硬體上交付安全模型。」捐贈資助、無企業支持者的治理加強了對齊性：營運商的激勵是讓使用者保持安全，而非以犧牲安全保證為代價來吸收更多使用者。

評級理由。 A 級和編輯精選反映了：12 年以上的營運連續性（CopperheadOS → GrapheneOS 血統自 2014 年起，目前專案自 2018 年起）；捐贈資助，無企業對齊壓力；硬體層級驗證啟動安全模型，經得起刷機；沙盒化而非特權的 Play Services 模型，不會擴大 Google 的監控足跡；與 Pixel 修補同步的約每週安全更新節奏；已發布的安全公告和 CVE 回應；在每一本嚴肅隱私 + 安全威脅模型指南中的一致收錄；可重現構建友善的 Android 基礎設施。最後驗證日期 2026-05-13。

適用場景。 您需要一支並非作為 Google 資料收集端點出貨的手機。您是記者 / 行動者 / 研究人員 / 律師 / 異議人士，其手機層級威脅模型包含「作業系統層級的營運商不能成為向量」。您想在行動裝置上使用 Signal / SimpleX / Monerujo / Cake Wallet，並在其下層使用尊重隱私的作業系統。您想要沙盒化 Google Play（使用您需要的應用程式，限制其存取權限）。您正在為旅行或營運原因執行無 SIM / silent.link / GrapheneOS 配置。您想要硬體證明的驗證啟動，且您能實際對其進行審計。

注意事項。 僅限 Pixel — 刻意為之，但為一個真實的限制；您無法在現有的 Samsung 上安裝 GrapheneOS。需要購買新硬體（目前 Pixel 約 $400-1000）。部分應用程式拒絕在沙盒化 Play 中執行 — 銀行應用程式尤其有時會透過 SafetyNet / Play Integrity 檢測到「非原廠 Android」並拒絕啟動。GrapheneOS 發布一份社群維護的應用程式相容性清單；若您的銀行應用程式為任務關鍵，請在購買前檢查。沙盒化 Play Services 仍會與 Google 通訊 — 針對需要的應用程式；沙盒化限制了 Google 對那些特定應用程式的存取，但並不會使應用程式本身變得私密。初始設定比原廠 Android 更為複雜 — 您將花費約 30 分鐘在安裝 + 初始配置上；非一般使用者層級，儘管網頁安裝程式已大大提高了可及性。電池 + 生態系統取捨 — 透過沙盒化 Play 的推播通知可以運作，但部分電源管理啟發式方法依賴於未執行的 Google 服務；預期會有輕微的電池 + 生態系統整合取捨。無 iOS 對應版本 — GrapheneOS 僅存在於 Pixel；如果您是 iOS 使用者，最接近的對應版本是原廠 iOS 上的「鎖定模式 + 謹慎的應用程式策劃」，這在有意義的程度上較弱。更新時序取決於 Google — GrapheneOS 只能修補 Google Pixel 韌體支援的內容；當 Google 結束對某個硬體世代的 Pixel 安全支援時，GrapheneOS 也會跟進。