> В идеале большая часть кода становится safe, а весь unsafe верифицирован опытными
> людьми, и предполагается как корректно работающий.Это может сработать, но не так, как здесь. Если для реализации Mutex требуется unsafe, то это должен быть unsafe инкапсулированный в модуле, где реализован Mutex. Чтобы клиентский код мог бы обойтись без использования unsafe. Тогда количество unsafe'ов в коде действительно минимизируется, и тогда появляется возможность лучше распределить ресурсы, сконцентрировав максимум опыта на аудите библиотечного кода.
Неинициализированная память в Rust'е -- это UB. Недавно в каком-то из последних релизов стабилизировали MaybeUninit, я почитывал что там происходит, и почему так сложно, но сложности как раз вытекают из того, что с неинициализированной памятью в расте _крайне_ сложно работать, как раз потому, что раст прилагает серьёзные усилия к тому, чтобы неинициализированной памяти не было, и потом очень серьёзно полагается на то, что вся память инициализирована. Там надо очень аккуратно работать. Здесь же требовения к умению так аккуратно работать выносятся в клиентский код.
То есть, в данном конкретном случае, я не вижу запредельного криминала, потому как правила использования выглядят достаточно простыми, и потому что вряд ли для растового кода сделают исключение из стандартного review процесса, и значит косячный Mutex не просочится. Но всё же, здесь идея safety нарушена, подход rust'а к обеспечению safety нарушен, и это как раз любопытно: почему? Что помешало затолкать инициализацию Mutex'а в Mutex::new? У меня есть две гипотезы почему так, но лень проверять их -- надо в код лезть и смотреть там.