Google Pixel 9 / 9 Pro 刷入 GrapheneOS(石墨烯)完整指南(Web 安装器)

更新日期:2025-10-28
适用设备:Google Pixel 9 / Google Pixel 9 Pro
安装方法:GrapheneOS 官方 WebUSB 安装器(推荐给绝大多数用户)

⚠️ 强烈建议:
在动手之前,先通读一遍 GrapheneOS 官方 Web 安装文档,再结合本文操作。官方文档会不定期更新,始终以官方为准:

一、重要说明与风险提示

  • 刷机会完全清空手机所有数据(包括照片、应用、短信、微信/Telegram 聊天记录等),且无法恢复
  • 解锁 / 锁定 Bootloader 都会触发一次数据清空,这是设计好的安全机制,不是故障。
  • 解锁 Bootloader 在部分地区 / 运营商环境下可能影响保修,请自行确认。
  • 如果你对任何步骤不确定,建议在官方社区提问,确认后再操作。

二、准备工作

2.1 设备要求

项目要求说明
手机型号Pixel 9 / Pixel 9 Pro(含 Pro XL 也同理)
设备版本必须是 无运营商锁 的版本(carrier-unlocked / factory unlocked)
Bootloader必须支持 OEM 解锁(设置中能打开 "OEM 解锁" 开关)
电量建议手机电量 ≥ 50%,电脑电量充足或接通电源

官方说明:运营商定制机通常会通过 "carrier id" 禁用引导加载和 Bootloader 解锁,尽量购买"无运营商锁"的版本。

2.2 电脑与操作系统要求(以 Windows 为例)

本指南以 Windows 10/11 为演示环境。
GrapheneOS Web 安装器官方还支持多种系统(macOS、主流 Linux 发行版、ChromeOS 甚至 Android 13–16 等),详细列表见官方文档。

至少满足:

  • 内存:可用内存 ≥ 2GB
  • 磁盘空间:可用空间 ≥ 32GB(Web 安装器会下载并解压 2–3GB 的工厂镜像)
  • 不推荐虚拟机
    • 虚拟机的 USB 透传经常不稳定
    • 虚拟机默认内存 / 磁盘空间可能不足
    • 安装时 USB 掉线是最常见翻车点之一

✅ 最稳妥的做法:在物理机上原生系统完成安装。

2.3 浏览器要求

官方支持的浏览器包括:

  • Chromium(Ubuntu 自带 Snap 包除外
  • Vanadium(GrapheneOS 自带)
  • Google Chrome
  • Microsoft Edge
  • Brave(必须关闭 Brave Shields,否则会限制存储配额)

使用时注意:

  • 不要使用无痕/隐私模式(Incognito),这会限制 Web 安装器解压镜像所需空间。
  • 确保浏览器更新到最新版本。
  • Linux 用户:避免使用 Flatpak / Snap 版浏览器(官方明确指出这类打包方式经常导致 WebUSB / 存储问题)。

2.4 USB 数据线与接口

  • 优先使用盒装自带的 USB-C 数据线;
  • 尽量连接到台式机 主板后置 USB 口 或笔记本自带接口;
  • 避免:
    • USB Hub / 扩展坞
    • 机箱前置 USB 口
    • 品质不明的第三方数据线

GrapheneOS 官方指出,质量不佳的 USB 线 / Hub 是刷机失败最常见原因之一。

2.5 刷机前务必做的两件事

  1. 更新原厂系统到最新版本
    在还没刷机前,先在原生系统里更新到最新版本,确保固件和早期启动链都是最新的:

    • 打开:设置 → 系统 → 系统更新
    • 检查更新并安装
    • 更新完成后重启手机

  2. 完整备份数据
    至少备份:

    • 照片 / 视频(可同步到 Google Photos、Syncthing、NAS 等)
    • 联系人(同步到 Google / vCard 导出)
    • 聊天记录(微信/Telegram/Signal 等各自导出)
    • 重要文件(文档、下载、密码库备份等)

三、启用 OEM 解锁(关键前置步骤)

如果 OEM 解锁 无法打开,后续所有步骤都无法继续,请务必先解决这一点。

3.1 启用开发者选项

  1. 确保手机已连接 Wi-Fi 或移动数据网络
  2. 打开 设置 → 关于手机
  3. 连续快速点击 版本号(Build number) 7 次
  4. 屏幕会提示:"您现在处于开发者模式"

3.2 打开 OEM 解锁

  1. 返回设置主界面
  2. 进入:系统 → 开发者选项
  3. 找到 "OEM 解锁" 开关并打开
  4. 根据提示输入锁屏 PIN / 密码确认

3.3 OEM 解锁选项为灰色时的排查

如果 "OEM 解锁" 是灰色不可点,可能原因包括:

可能原因:

  • 设备为运营商锁机(carrier variant),出厂配置禁止解锁
  • 设备当前未联网,系统无法向 Google 服务器确认是否允许解锁
  • 二手设备,前机主仍绑定 Google 账号或启用了防盗保护(FRP)

排查建议:

  1. 确保联网

    • 连接稳定的 Wi-Fi 或插入有流量的 SIM
    • 重启后再次检查 "OEM 解锁" 是否仍为灰色

  2. 排除前机主残留

    • 确认已退出所有 Google / 其他账号
    • 在原厂系统内执行一次出厂重置,然后重新完成开机向导,再次尝试开启 OEM 解锁

  3. 确认设备是否为运营商机

    • 如果是运营商定制机,咨询运营商是否可以解锁 Bootloader
    • 如果长期无法解锁,建议直接更换无锁版本设备

四、使用 Web 安装器刷入 GrapheneOS(Windows 示例)

官方推荐 WebUSB 安装器作为大多数用户的默认安装方式。

第 1 步:在电脑上打开 Web 安装器

  1. 在电脑上打开以下浏览器之一(最新版本):

    • Google Chrome
    • Microsoft Edge
    • Chromium
    • Brave(先关闭 Brave Shields

  2. 确认:

    • 未开启无痕 / 隐私模式
    • 浏览器已更新到最新版本

  3. 在地址栏访问 Web 安装器页面:

    https://grapheneos.org/install/web

    这是官方在线安装工具,会通过 WebUSB 与手机通信,自动下载并刷入 GrapheneOS 工厂镜像,无需手动下载 ZIP 文件。

第 2 步:让手机进入 Fastboot(Bootloader)模式

  1. 关闭手机

    • 同时按住 电源键 + 音量上键 呼出电源菜单,选择 关机

  2. 进入 Fastboot 模式(Bootloader 界面)

    • 关机后,同时按住 音量减 + 电源键
    • 持续按住直到出现带红色警告三角形的界面。
    • 屏幕顶部会显示 "Fastboot Mode"
    • 不要按电源启动系统,保持停留在此界面,等待安装器连接。

第 3 步:连接手机到电脑 & 安装 Windows 驱动

  1. 使用 USB-C 数据线连接手机与电脑

    • 优先使用原装线
    • 尽量使用主板后置 USB 口
    • 避免 Hub / 前置 USB

  2. Windows 驱动(Pixel 9 系列一般会自动识别)

    • Windows 10/11 上,系统通常自带通用 fastboot 驱动,无需手动安装
    • 如果 Web 安装器提示找不到设备,可按以下方式从 Windows Update 获取驱动:
      1. 保持手机停在 Fastboot Mode 并连接电脑
      2. 打开 设置 → 更新和安全 → Windows 更新
      3. 点击 检查更新
      4. 进入 "查看可选更新"
      5. 安装名为 "Android bootloader interface" 的驱动(有时会显示为 "LeMobile Android Device"

第 4 步:解锁 Bootloader

⚠️ 解锁 Bootloader 会清空所有数据(包括刚备份后重新写入的),操作前确认数据已备份到外部存储/云端。

  1. 在 Web 安装器页面中,确认已识别到你的设备
  2. 点击 "Unlock bootloader" 按钮
  3. 手机屏幕会弹出确认界面:
    • 使用音量键上下切换选项
    • 选择 "Unlock the bootloader"
    • 按电源键确认
  4. 等待操作完成:
    • 手机会清除所有数据
    • 解锁完成后会自动回到 Fastboot Mode 界面,此时 Device State 应显示红色 unlocked

第 5 步:下载并刷入 GrapheneOS

  1. 下载工厂镜像
    在 Web 安装器页面点击 "Download release"

    • 浏览器会自动下载对应 Pixel 9 / 9 Pro 的 GrapheneOS 工厂镜像(约 2–3GB)
    • 下载过程中不要关闭/刷新网页,也不要断开 USB

  2. 刷入系统

    • 下载完成后,Web 安装器会出现 "Flash release" 按钮
    • 点击 "Flash release" 开始刷机

  3. 刷机过程说明
    Web 安装器会自动完成以下步骤:

    • 刷入最新固件(firmware)
    • 刷入 GrapheneOS 系统镜像
    • 设备在不同模式间自动重启数次(包括重新进入 Fastboot)

    刷机大约需要 5–10 分钟,期间不要操作手机或拔掉数据线

  4. 观察进度

    • Web 安装器页面会显示当前步骤与日志(显示 Flashed ... zip to device)。
    • 手机屏幕会显示刷写状态。

第 6 步:锁定 Bootloader(非常关键)

❗ 刷机完成后,请 立即重新锁定 Bootloader,否则设备处于未完全受保护状态,不适合日常使用。

  1. 在 Web 安装器页面,刷机成功后会显示 "Lock bootloader" 按钮
  2. 点击 "Lock bootloader"
  3. 手机进入确认界面:
    • 使用音量键选择 "Lock the bootloader"
    • 按电源键确认
  4. 等待完成:
    • 锁定 Bootloader 会再次清空全部数据
    • 完成后手机回到 Fastboot Mode 界面
    • 检查屏幕上的 Device State 变为绿色的 locked

锁定 Bootloader 之后,才会启用完整的 Verified Boot 链条,系统才能在启动时检测到任何篡改并拒绝加载被修改的数据。

第 7 步:首次启动 GrapheneOS

  1. 在 Fastboot 界面中:

    • 使用音量键切换到 "Start"
    • 按电源键确认

  2. 启动过程说明:

    • 会看到 GrapheneOS 启动画面
    • 首次启动可能需要 1–2 分钟
    • 启动时会显示一个黄色警告屏,提示正在运行非出厂系统,并显示一串哈希值(后面会用到)。

五、安装后基础配置

💡 延伸阅读:完成本节的基础配置后,建议参考我们的深度配置指南,了解如何通过多用户隔离、安全加固等高级设置,充分发挥 GrapheneOS 的隐私保护能力:
👉 GrapheneOS 手机系统配置最佳实践

六、验证 GrapheneOS 安装是否"干净可信"

GrapheneOS 借助 Pixel 的 Verified Boot硬件级 Attestation 功能,可以验证你的系统是否真正是官方构建、未被篡改。

方法一:检查 Verified Boot Key Hash(黄色启动屏)

Pixel 9 / 9 Pro 属于第 6 代以后机型,启动时会显示完整的 sha256 哈希,可以直接比对。

  1. 重启手机
    • 关机 → 再次开机
  2. 在启动初期会短暂显示黄色警告屏,上面有一串 64 位十六进制哈希
  3. 核对以下值(来自 GrapheneOS 官方 Web 安装文档):

Pixel 9 Pro Verified Boot Key Hash:

f729cab861da1b83fdfab402fc9480758f2ae78ee0b61c1f2137dd1ab7076e86

Pixel 9 Verified Boot Key Hash:

9e6a8f3e0d761a780179f93acd5721ba1ab7c8c537c7761073c0a754b0e932de
  • 如果与你设备上显示的哈希完全一致,说明:
    • 安装的是官方签名的 GrapheneOS
    • Verified Boot 使用的是 GrapheneOS 的公钥,能在每次启动时完整校验固件和系统镜像

方法二:使用 Auditor App 进行硬件级验证(推荐至少做一次)

GrapheneOS 官方提供了 Auditor 应用,用于基于硬件 Attestation 的系统完整性验证:

  • 通过 硬件安全单元 生成的密钥与 attestation 数据
  • 验证:
    • 硬件是否为真机
    • 固件 / 系统是否为官方版本
    • 是否被降级到旧版本

你需要准备:

  • 一台已刷入 GrapheneOS 的 Pixel 9 / 9 Pro(被验证设备)
  • 第二台 Android 设备,用来安装 Auditor 并扫描二维码

大致步骤:

  1. 在第二台 Android 设备上安装 Auditor
    • 可从 GrapheneOS 应用仓库、GitHub 或(部分地区)Play 商店获取官方签名版本
  2. 打开 https://attestation.app/tutorial ,按官方教程创建配对
  3. 在 Pixel 9 上安装并打开 Auditor,按提示与第二台设备进行一次本地配对(二维码扫描)
  4. 完成后,第二台设备会显示一次完整验证结果,包含:
    • Verified boot state
    • Verified boot key
    • 安全补丁级别等

你也可以选择使用 attestation.app 提供的远程定时验证服务,周期性检测系统是否被篡改。

七、可选:从 GrapheneOS 恢复到原厂系统的大致思路

如果以后你想从 GrapheneOS 切回原厂 Pixel 系统(stock OS),官方文档提供了完整步骤。这里只给出简要思路:

  1. 解锁 Bootloader(会清空数据)
  2. 在 Fastboot 模式下,使用 GrapheneOS 提供的命令清除非原厂的 Verified Boot key(Web 安装器页面有 "Remove non-stock key"
  3. 打开 Google 的官方 Web 刷机工具:https://flash.android.com ,选择对应 Pixel 9 / 9 Pro 的原厂镜像进行刷写
  4. 刷写完成后,重新锁定 Bootloader,设备恢复为"接近出厂"的状态

详细命令与截图请查看 GrapheneOS Web 安装文档中的 "Replacing GrapheneOS with the stock OS" 小节。

八、常见问题与故障排除

8.1 电脑识别不到设备(Fastboot 模式)

症状:

  • Web 安装器页面一直显示 "Waiting for device…"
  • 或者设备一闪而过、频繁断开

可能解决方案:

  • 换一根质量可靠的数据线(优先原装)
  • 把 USB 口换到主板后置 / 笔记本直连口
  • 避免使用 Hub / 扩展坞
  • 在 Windows 中通过 Windows Update 安装 Android bootloader interface 驱动("LeMobile Android Device")

8.2 OEM 解锁选项为灰色无法开启

参考前文 3.3 小节,重点检查:

  • 是否已连接 Wi-Fi / 移动网络
  • 是否为运营商锁机(carrier variant)
  • 是否为二手机且前机主账号/防盗保护未彻底移除
  • 必要时执行一次出厂重置后再次尝试

8.3 Web 安装器卡住 / 报错

尝试以下措施:

  • 刷新网页并重新按照步骤操作(特别是解锁 / 锁定步骤)
  • 确保未使用无痕模式
  • 临时禁用浏览器扩展(尤其是安全 / 隐私类、广告拦截扩展)
  • 更换浏览器(Chrome / Edge / Brave)
  • 更换 USB 口 / 数据线
  • 如果使用的是 Linux,确认不是 Flatpak / Snap 版浏览器,并关闭可能占用 fastboot 设备的服务(如 fwupd

8.4 寻求进一步帮助

遇到本文未覆盖的问题,建议直接在官方社区求助:

提问前尽量带上:

  • 设备型号(Pixel 9 / 9 Pro)
  • 使用的系统(Windows/macOS/哪种 Linux)
  • 浏览器名称与版本
  • Web 安装器页面的错误信息 / 截图

九、参考资料与延伸阅读