2025年12月，Linux内核维护者峰会在东京召开。Rust for Linux项目的实验状态被正式终结，首席开发者Miguel Ojeda宣布"实验已经完成"，Rust成为内核的永久组成部分。

这是一个里程碑。几十年来，Linux内核只有一种语言：C。加入第二种语言的决定不是审美偏好，而是安全需要的产物。Linus Torvalds本人从怀疑走向接受，核心原因只有一个：内存安全Bug是内核最大的安全威胁，C语言层面无法根治，而Rust的类型系统可以。

内核里的Rust是什么样子的

如果你以为内核里的Rust就是平时写的Rust，那就大错特错了。内核中的Rust运行在完全的no_std环境——没有标准库、没有std::sync::Mutex、没有Vec::new()、没有Box、没有thread::spawn。你平时依赖的几乎所有Rust模式都被替换了：定制内核crate提供了自己的分配器、同步原语和集合类型。

这不是"给内核API套一层Rust封装"，而是在用一种不同的Rust方言写代码。思维模型的切换代价很大，进入这个领域的工程师需要重新学习大部分日常工具。

但成果是实打实的。截至2026年初，内核中已有超过60万行Rust生产代码，覆盖驱动、文件系统抽象、核心子系统绑定。成果包括Android Binder IPC驱动（已在AOSP中生产使用）、Apple GPU的Asahi驱动（完全从零用Rust编写，不是C代码的移植）、NVMe驱动抽象层，以及网络PHY驱动框架。DRM子系统维护者Dave Airlie在东京峰会上表示，DRM大约一年后将要求所有新驱动使用Rust，不再接受C语言新贡献。

组织的阻力，不是技术的阻力

Rust在内核中的接受并非一帆风顺。部分内核维护者明确表达了对编译复杂度增加、Rust工具链要求以及现有贡献者学习曲线的担忧。作为一种折中，内核采取了严格的opt-in策略：Rust仅在显式启用编译设置时才会编译，且C代码在链接层面绝不能依赖Rust代码。这一架构决策确保了庞大的C贡献者群体不会被强制改变工作方式。

这揭示了一个关键事实：Rust在系统编程领域面临的核心阻力从来不是技术性的。性能对比显示Rust实现与C实现持平，同时消除了整类内存安全漏洞。从2024年到2026年，Rust内核代码中的内存相关CVE数量为零，而等效C或C++子系统中平均每季度报告12个。数据已经替Rust说话了。

真正的阻力是组织性的。现有团队的C或C++技能是几十年积累的资产，切换到Rust意味着这部分资产的折旧。生态迁移也不可能一步到位，只能采取渐进策略，新模块用Rust写，老模块继续维护C代码。加上"现有代码跑得好好的为什么要动"的惯性思维，Rust的推广更像是一场组织变革而非技术升级。

不只内核：生产环境的全面渗透

Rust的生产部署早已超越内核。WhatsApp的媒体处理库从16万行C++重写为9万行Rust，部署到30亿设备上，代码量减少了44%，同时消除了整类内存安全漏洞。Google的Android已将PNG解析器、JSON解析器、网页字体等关键C或C++组件替换为Rust，使内存安全漏洞占比首次降至20%以下——漏洞密度下降了上千倍。

企业采用也在加速：Google、Meta、Microsoft、Amazon都在关键系统中部署了Rust。内核方向的Rust工程师在美国的薪资达到18万到25万美元，是Rust薪资最高的细分方向之一。

已成功，但仍在路上

Rust已不是"即将成功"的语言——在系统编程领域，它已经成功了。2026年的问题是"有什么理由不用Rust"，而不是"要不要尝试Rust"。但大规模替换C或C++仍然是一个十年尺度的工作。Rust的第一个十年证明了它的技术可行性，第二个十年要证明的是它能否克服组织惯性——而组织惯性从来不是靠benchmark数据就能说服的。

政策推动力：安全不再是可选项

Rust扩散的另一个引擎来自政*和行业政策。美国国家安全局（NSA）在2022年发布指南，明确推荐内存安全语言，将Rust与Go、Swift、Java并列。DARPA通过SAFEDOCS等项目资助内存安全系统编程研究。白宫国家网络主管办公室在2024年初发布报告，呼吁软件行业从关键系统基础设施中淘汰内存不安全语言。

这些尚不是强制法规，但它们清晰地指明了政*采购需求的方向。对美国公司来说，向政*销售基础设施软件时，转向Rust或展示可信的迁移路线图正在变成商业必要而非技术偏好。欧盟也在推进类似的网络安全弹性法案，要求关键基础设施软件达到可验证的安全标准——而内存安全是最容易量化的指标之一。

这种政策推动意味着Rust的增长不是由技术炒作驱动的，而是由结构性的安全需求驱动的。一种因为监管和安全命令而被采用的语言，不会因为下一个流行替代品的出现而退潮。它的采用曲线有更坚实的底座。

正在扩大的生态版图

除内核和移动端外，Rust在2026年的生态版图还在持续扩大。Cloudflare的边缘计算栈使用Rust构建，AWS的Firecracker微虚拟机底层是Rust，甚至微软也在Windows内核中实验性引入Rust组件。工具链方面，ripgrep已经成为许多发行版的默认搜索工具，sudo-rs被多个企业发行版纳入，hickory-dns正在替代BIND的部分场景部署。

即便在Rust传统上渗透较慢的领域——如Web后端——2026年也有了显著变化。Axum和Actix Web框架在性能基准测试中持续领先，越来越多对延迟敏感的服务开始用Rust替换Node.js或Python实现。不是因为这些语言的生态不够丰富，而是因为在特定场景下，"没有GC暂停"和"内存安全"同时满足的性价比正在被更多团队认识到。

Rust的流行度排名在2026年稳定在第七到第八位——绝对数字不算惊人，但它是所有系统语言中增长最快的。Stack Overflow连续九年将Rust评为最受喜爱语言，而这份喜爱正在变成生产部署的规模和商业上的认真对待。

值得警惕的另一面

不过，在Rust的高歌猛进中，有一些冷静的声音也值得倾听。Rust的学习曲线仍然陡峭，编译速度仍然是大型项目的痛点——Rust 1.94在2026年3月发布后，编译性能仍然是社区反馈最多的改进诉求。Rust基金会在2026年投入了65万美元直接资助项目，并增加了第二位项目经理，这些投入的一部分目标就是缩小编译速度和人体工学方面的差距。

另一个容易被忽视的现实是：Rust的招聘市场仍然偏小。在LangPop的七源综合指数中，Rust在岗位发布量指标上仅排第十到第十二位。这意味着虽然Rust工程师薪资极高，但岗位总量远不如Java、Python、JavaScript。对于想转型Rust的开发者来说，高薪资和高门槛、低岗位总量是一个需要权衡的三元方程。

Rust的未来不取决于它能不能替代C或C++——这个问题在技术层面已经有了答案。它取决于组织是否愿意为安全性付出迁移成本，取决于生态系统是否能在大规模采用中保持友好，取决于下一代系统工程师在学校里学的是不是Rust而不是C。这是一场慢变量驱动的变革，2026年只是它的一个中途站。

安全论证的胜利

Rust成功的一个深层原因，不是任何一项具体的技术特性，而是它解决了C/C++阵营最顽固的一个问题：内存安全不是"训练有素的程序员可以避免的"，而是"即使在最严格的审查下也无法从统计学上消除的"。微软和Google的安全团队一年又一年地发布数据——微软70%的零日漏洞是内存安全问题，Android中超过一半的高危漏洞同样追溯到内存安全——这些数据不是偶然，而是系统性的。

Rust带来的变化是：它把"内存安全"从"程序员的责任"变成了"编译器的责任"。编译器不会像程序员一样疲劳、分心或赶deadline。这不是更好的工程实践，而是更可靠的安全模型。对于那些运行在基础架构底层、一旦出错后果不可逆的系统来说，这种从人防到技防的转移，是Rust采用中最有力的单一论证。

值得玩味的是，这种论证方式与Rust自身的设计哲学一脉相承：不做你能靠纪律做到的事，做编译器能帮你验证到的事。Rust的流行不是因为开发者喜欢它的语法，而是因为它回答了一个组织级的问题——"我们如何确保明天不会因为一个野指针导致服务中断或安全漏洞？"——而C和C++在这个问题上已经无法给出令人安心的答案。

本文数据来源：Rustify行业分析、Linux内核邮件列表、Rust基金会2026年报、LangPop语言指数、Stack Overflow开发者调查、各公司技术博客公开资料。

作者：从程序员到架构师