三色算法中，灰色对象为何不能直接变为白色？

一、三色标记基础：颜色语义与状态流转

三色标记（Tri-color Marking）是现代垃圾收集器（如G1、ZGC、Shenandoah）的核心理论基石。其将对象划分为三种逻辑颜色：

• 白色：初始状态，表示“尚未被标记，可能不可达”（候选回收对象）；
• 灰色：中间状态，表示“自身已被发现，但其引用的子对象尚未全部扫描”，是活跃的标记工作队列节点；
• 黑色：终态，表示“自身及其所有可达子对象均已扫描完毕”，可安全视为存活。

状态转换必须遵循严格顺序：白色 → 灰色 → 黑色，禁止任何绕过灰色的直接跳变（如白→黑），更严禁灰色 → 白色回退。

二、灰色→白色跳变：为何是“根本禁忌”？

此跳变直接违反三色不变式（Tri-color Invariant）：若存在从灰色对象G到白色对象W的引用，则W必须在G变为黑色前被标记为灰色或黑色。灰色→白色即意味着主动放弃对该引用链的追踪权。

三、写屏障：修复并发破坏的工程解法

为阻断灰色→白色导致的漏标，主流并发GC引入写屏障（Write Barrier）作为运行时契约执行器。两类典型策略：

1. SATB（Snapshot-At-The-Beginning）：在字段写入前捕获“旧引用”，将其压入SATB缓冲区，确保标记阶段仍能追溯被覆盖的存活路径；
2. Post-Write Barrier（如G1）：在字段写入后记录“新引用”，触发对应卡页（card）标记或延迟入队，保障新引用对象被后续扫描覆盖。

二者本质都是对灰色对象引用变更这一关键事件进行拦截与补偿，将“潜在漏标风险”转化为“可调度的标记任务”。

四、形式化验证视角：不变式失效的数学表达

设G为灰色对象集合，W为白色对象集合，R(o)表示对象o的引用集合。三色不变式可形式化为：

∀g ∈ G, ∀w ∈ W: w ∈ R(g) ⇒ w ∈ G ∪ B

若允许g ∈ G在R(g)非空且含w ∈ W时直接移入W，则存在反例使蕴含式为假，系统进入不安全状态。JVM规范明确要求GC实现必须维持该谓词恒真——这是内存安全性（memory safety）在自动内存管理中的具体落地约束。

五、真实案例对比：无屏障 vs 有屏障的GC行为差异

OpenJDK中G1 GC的G1RemSet与ZGC的Load Barrier + Color Bits均以硬件级原子操作保障屏障语义零丢失。实测数据显示：在高竞争Web服务场景下，缺失写屏障会导致漏标率飙升至0.3%以上，引发不可预测的NullPointerException或堆损坏。