2026 年 3 月,Start9 在 StartOS 0.4.0 发布会上同步公开了一款基于 RISC-V 的开源路由器。该设备并非极客玩具,而是指向一个明确的工程目标:用完全开放的硬件与软件栈构建可替代主流消费级路由器的网络网关。本文从处理器选型、boot 链架构、固件层次以及安全模型四个维度,深入解析这款硬件的工程实现。
SpacemiT K1:为什么路由器需要 RISC-V
该路由器采用 SpacemiT K1 作为核心 SoC,这是一颗 8 核 64 位 RISC-V 处理器。RISC-V 在嵌入式领域的最大价值在于其指令集不受专利束缚 ——ARM 近年来收紧授权条款,2023 年更大幅调整了授权策略,这让依赖 ARM IP 的设备厂商面临持续的成本与合规压力。而 RISC-V International 维持的是一个免版税的开放标准,任何厂商均可自由实现,无需向任何单一公司支付授权费用。
对于路由器这类固定功能的网络设备,处理器的计算能力并非瓶颈。千兆网络吞吐、HTTPS VPN 隧道、NAT 转发等操作均属于 I/O 密集型而非 CPU 密集型任务。8 核 RISC-V 主频足以在 SpacemiT K1 的功耗 envelope 内(典型 TDP 约 5–10W)完成上述所有负载,且留有充足的并发 headroom。Start9 选择这颗芯片的逻辑是:不必追求极致性能,但要确保芯片本身没有黑箱固件隐藏的后门。
硬件规格与开放边界
该设备的硬件配置如下:
| 组件 | 规格 |
|---|---|
| 处理器 | SpacemiT K1, 8 核 64 位 RISC-V |
| 内存 | 4 GB LPDDR4 |
| 存储 | 16 GB eMMC |
| 有线网络 | 1× 千兆 WAN + 1× 千兆 LAN |
| 无线模块 | AsiaRF AW7915-NP1, Wi-Fi 6 (802.11ax), 4T4R, 最高 2401 Mbps |
| 电源 | PD 12V/3A, USB-C |
值得关注的开放边界定义:RISC-V 指令集、电路原理图、boot 栈(OpenSBI + U-Boot)、Linux 内核、StartWrt 操作系统以及 mt76 Wi-Fi 内核驱动(已进入 mainline)全部开源,且可由用户独立审计与重新编译。两项仍然闭源的是 Wi-Fi 射频固件(这是所有市售 Wi-Fi 5/6 模组的行业现实)以及用于 DRAM 初始化和第一阶段 boot 的两个早期二进制文件。Start9 已明确表示开源替代品正在开发中,这是嵌入式设备中常见的过渡状态。
OpenSBI + U-Boot:从开机到 kernel 的信任链
整个 boot 链的设计遵循了 RISC-V 平台的最佳实践:
- OpenSBI(Open Source Supervisor Binary Interface):作为 M-mode 固件,OpenSBI 在系统复位的最早期执行,承担平台初始化、内存映射配置以及 HART(硬件线程)管理职责。它向上为 S-mode 运行的管理程序或 Linux kernel 提供标准化的 SBI 调用接口,消除了厂商私有固件的依赖。
- U-Boot:作为第二阶段 bootloader,U-Boot 负责从 eMMC 或外置存储加载 Linux kernel image,支持设备树(Device Tree)传递硬件描述,并提供命令行环境供开发者在部署阶段进行调试或自定义启动参数。
这条 boot 链的核心意义在于:整个开机过程没有任何闭源的厂商 blob 参与可信根_chain 的执行。OpenSBI 本身是开源项目,可通过编译参数针对具体 SoC 进行调优。对于安全审计人员而言,这意味着只要验证编译出的 SBI 二进制与公开源码一致,即可确认启动环境未被篡改。
StartWrt:OpenWrt 分叉的现代化重设计
StartWrt 是 Start9 为该路由器定制的操作系统,源自 OpenWrt 但在用户体验层面做了根本性重新设计。OpenWrt 的 LuCI 默认界面面向有经验的管理员,而 StartWrt 的目标用户群体是完全没有网络知识背景的普通消费者。
从工程实现角度,StartWrt 保留了 OpenWrt 的核心架构:基于 OpenWrt 的包管理系统、使用 UCI(Unified Configuration Interface)管理配置、继承 OpenWrt 对网络协议栈的深度调优能力。在此基础上,StartWrt 引入了「安全配置文件」(Security Profiles)机制 —— 这是该固件最具工程价值的功能设计。
安全配置文件的实现逻辑如下:系统不再依赖传统的「多 SSID 分离网络」模型,而是采用单一 SSID + 多密码映射方案。每个密码绑定到不同的访问策略:管理员密码对应完全 LAN 访问,儿童密码触发 DNS 过滤与时间限制,访客密码仅允许访问特定服务。Wi-Fi 设备无需记住多个网络名称,配置逻辑收敛到路由器侧统一管理。
此外,StartWrt 原生支持无限数量的入站 VPN 服务器,每个服务器可独立绑定到指定的安全配置文件。这一设计使得家庭成员在远程时获得不同级别的 LAN 访问权限,而无需为每个场景单独配置端口映射或 DMZ 规则。对于运行 Start9 Server One 的用户,系统可自动完成端口转发与防火墙规则配置,无需手动干预。
FCC Covered List 更新与供应链安全
该产品的发布时机恰好落在 2026 年 3 月 FCC 更新「Covered List」之后。美国联邦通信委员会将所有在外国生产的消费级路由器列入监管名单,禁止未在美国国内完成制造(设计、开发和组装等主要阶段)的设备获得 FCC 设备授权。这一决策的直接诱因是 Volt、Flax 和 Salt Typhoon 等国家支持的网络攻击活动通过消费级路由器作为跳板攻击美国关键基础设施。
对于 Start9 而言,这一监管环境实际上强化了其产品定位:路由器硬件与固件的完全可审计性不仅是哲学主张,也是应对供应链审查的实际手段。该路由器在美国设计与生产(由 DeepComputing 制造),板级设计文档开源,使得任何买家或监管机构均可验证其来源链条。Matt Hill 在发布会上也提及,如果 FCC 规则对成品进口构成障碍,团队将考虑提供 DIY 套件方案,将最终组装环节移至美国境内完成。
工程限制与未来路线
1 WAN + 1 LAN 的端口配置决定了该设备定位为主网关而非分发节点。对于需要覆盖多房间的全屋网络场景,Start9 已明确将 AP/mesh 功能列入路线图。对于不需要 Server One 协同工作的用户,该路由器单独使用时仍可提供完整的开源固件体验 —— 但其核心差异化价值在于与 StartOS 的原生集成:服务发现、自动化端口转发与统一安全管理这三项能力的深度绑定,是任何通用 OpenWrt 设备无法复制的。
资料来源:Start9 在 StartOS 0.4.0 发布会上的路由器公开披露(2026-03-27),以及 Start9 官方 X 账号对开源组件范围的说明(2026-03-28)。
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。