第375期 — 2026-07-04 |
周e信 |

Node.js |
npm 上线高影响力账号预防性账户保护机制🔗 该GitHub官方博客介绍npm于2026年6月25日推出针对高影响力包维护账号的预防性安全防护,为抵御账号接管引发的供应链投毒攻击,当这类账号修改邮箱、重置2FA恢复码等敏感操作时会自动进入72小时只读限制状态,期间下载查看包不受影响,但发布包、管理令牌、调整组织权限等高风险操作全部冻结,系统会向原邮箱发送告警,72小时后权限自动恢复,若误触发限制可联系npm客服协助处理,以此阻断攻击者篡改邮箱、新建令牌发布恶意包的攻击路径。 github |
Drizzle ORM发布因NPM packument 100MB上限问题与受阻🔗 manifest是单个包版本的元数据、packument是聚合该包所有版本元数据的文档,NPM出于性能与安全设置该上限,且版本发布72小时后开发者无法自行删除旧包,只能联系人手不足的官方人工清理;文中给出查询包packument大小的命令,建议少发布无用开发快照、精简package.json并监控文件体积,同时提出可通过客户端限定所需版本优化下载,还介绍了vlt镜像通过白名单精简元数据大幅缩小packument体积,并向开源项目开放免费私有仓库。 Evert Pot |
Node.js 新手首次开源贡献完整规范指南🔗 这份文档是Node.js面向初次贡献者的操作手册,明确贡献前需遵守行为准则、优先认领新手友好issue,重大改动需提前沟通;规范新手提交限制,要求PR必须签署DCO签名、通过GitHub Actions与Jenkins双重CI校验,规定冲突本地rebase解决、不允许网页端合并冲突,同时说明评审、合并、版本移植全流程规则,并解答PR无人审核、合并后上线周期等高频问题,指引新手合规完成首次开源提交。 Joyee Cheung |
Javascript |
slqnt.dev |
向Zig软件基金会再承诺捐款40万美元🔗 Mitchell Hashimoto 的家庭宣布再次向 Zig 软件基金会(ZSF)捐赠 40 万美元,使累计捐赠总额达到 70 万美元。他高度评价 Zig 在技术和社区方面的进步,特别是其严格的无 LLM 贡献政策、Loris Cro 的 Contributor Poker 等举措所体现的独特文化。尽管他个人大量使用 AI 且不完全认同 ZSF 的 AI 政策,但他尊重项目坚持独立和质量的立场,认为开源项目可以有不同的边界和价值观。他感谢 Zig 让他的 Ghostty 项目成为可能,并号召大家支持 Zig。 Mitchell Hashimoto |
前端 |
零依赖多选下拉库 slim-select🔗 slim-select是Brian Voelker开发、MIT协议开源的零依赖轻量TS下拉选择组件,可替代原生 Brian Voelker |
互联网正在为 AI,而非人类服务🔗 这篇文章指出当下网络、交通基础设施正优先适配AI与自动驾驶、配送机器人等自动化设备,像llms.txt这类专为AI设计的网页简化格式缺失读屏软件所需的结构化信息,并不等于残障群体真正需要的无障碍改造;过往残障人士奋力争取的无障碍设施,如今反而服务于商业技术系统,作者将此命名为“自动化坡道效应”,以道路标线、人行道机器人为例佐证:社会仅在科技企业有利益需求时才推进无障碍相关建设,残障者的民权诉求本身不受重视,企业还会借附带微弱便利进行“无障碍漂绿”,文章呼吁改造AI相关基础设施时必须吸纳残障群体与无障碍专家共同参与设计,正视无障碍是公民权利而非AI发展的附带福利。 Jonathan Zong, Frank Elavsky |
mapcn - 适配 shadcn,ui 的 MapLibre React 地图组件库🔗 基于MapLibre GL与Tailwind CSS、完全贴合shadcn/ui开发模式的开源React/Next.js地图组件库,采用一键复制组件到本地的无黑盒设计,零配置开箱即用,默认搭载CARTO免费底图并自动跟随系统切换明暗地图,内置标记、弹窗、路线、缩放罗盘等常用地图组件,完整暴露底层MapLibre实例方便深度拓展,采用MIT开源协议,适合快速开发后台地理看板、点位展示、轨迹路线等网页地图场景。 Anmoldeep Singh |
FixCSS:修正 CSS 原生设计缺陷的转换工具🔗 FixCSS 是一款基于 CSS 设计缺陷清单开发的转换工具,允许开发者使用更合理的自定义 CSS 语法,自动翻译成浏览器兼容代码,支持浏览器直接引入与 Node/CLI 批量构建,可修正属性名、坐标轴、简写、选择器等多类原生 CSS 不合理设计,并提供灵活开关控制转换规则。 vale.rocks |
Meta发布了其Astryx设计系统——基于React和StyleX🔗 Astryx是Meta(原Facebook)2026年开源、内部打磨八年、支撑旗下上万产品的React企业级设计系统,基于StyleX实现零运行时样式性能,内置150+高可访问TS组件、主题切换与CLI工具,支持源码深度自定义;最大特色是提供机器可读规范,将AI编码智能体作为一等公民,方便Copilot、Claude等工具统一生成标准UI,目前仅适配React,社区生态尚处于早期。 meta |
移动端 |
低端安卓 Skia+Reanimated 动画卡顿深度排查与优化总结🔗 Margelo团队针对低端120Hz安卓机Skia画布动画跳动问题排查发现,卡顿核心并非动画曲线,而是120Hz设备单帧时间预算紧张,Skia默认TextureView会产生多次GPU纹理合成开销,叠加Skia路径钩子循环重绘、React组件无意义重渲染三重损耗;通过安卓端开启Canvas不透明切换至SurfaceView硬件分层、复用路径对象切断循环重绘、优化状态引用减少组件重渲染等方案,大幅降低渲染线程负载,彻底解决动画卡顿,同时配套多类性能工具与自动化测试流程高效定位性能瓶颈。 Vishesh Raheja |
FUTO Swipe – 一种新的开源滑行输入模型🔗 FUTO Swipe 是一套开源的滑行输入模型和算法,主要用于 FUTO Keyboard(一款完全离线的安卓键盘应用),旨在解决传统滑行输入依赖隐私侵犯类应用或非授权库的问题。文章详细介绍了其数据集:2024年8月通过网页收集了超过100万条QWERTY英文滑行数据,并于2025年3月以MIT许可发布在HuggingFace上。模型架构包含三个类型:通用的布局/语言无关的编码器(63.5万参数)、用于消除不合理预测的ContextLM(150万参数,其中110万为嵌入层)、以及语言和布局特定的解码器(30.4万参数),三者配合达到约4%的top-4失败率(忽略词表外情况低于1%)。模型总参数量约250万,可在低端设备毫秒级运行,训练仅需一块工作站GPU。此外还提供了开源的C++推理库(swipe-library),处理从滑行路径到单词预测的完整推理与束搜索过程。所有模型和代码均已公开。 futo.tech |
人工智能 |
OpenAI推出其首款定制芯片由博通制造🔗 OpenAI于2026年6月24日发布了其首款定制推理芯片Jalapeño,该芯片由Broadcom合作设计和制造,专为OpenAI的推理系统优化。芯片开发过程中使用了OpenAI自身的人工智能模型,早期测试显示其性能功耗比显著优于现有顶级方案。此举旨在减少对Nvidia GPU的依赖,与Google、Amazon的AI加速器策略类似。OpenAI总裁Greg Brockman强调了对特定负载的深度优化,Jalapeño针对推理任务(如实时编码模型)设计,可降低运营成本。尽管预训练等高性能任务仍依赖Nvidia硬件,但推理成本的降低有助于改善公司盈利。OpenAI正通过芯片设计、系统架构等多层优化,使模型更快、更可靠、更便宜。 OpenAI与Broadcom合作推出首款定制推理芯片Jalapeño,旨在提升能效并降低对Nvidia依赖。 Russell Brandom |
运维 |
匿名GitHub账号批量披露未公开的零日漏洞🔗 一名匿名安全研究员(GitHub账户bikini)创建了名为“exploitarium”的公开仓库,集中发布了多个此前未公开的零日漏洞利用验证代码(PoC),涉及7zip、AnyDesk、c-ares、Docker、FFmpeg、Firefox、Floci、Ghidra、Gitea、ImageMagick、libssh2、Lunar、MyBB、nghttp2、Nmap、objdump、OpenVPN、PHP、RustDesk、System Informer、VLC等广泛软件。作者声称这些漏洞在发布时均未被厂商报告,鼓励他人自行提交以获取CVE编号,并明确警告不得恶意使用。作者还说明其模糊测试流程由AI辅助,但PoC代码均为手动编写,且拥有相关学术背景。 bikini |
Bunny DNS 已完全免费🔗 本文宣布 Bunny DNS 已完全免费:不再对 DNS 查询收费,并支持每个账户免费托管最多 500 个域名,无查询限制、无按请求计费,智能记录和健康监控等关键功能也不设企业版门槛。文章回顾了 Bunny DNS 从内部路由引擎发展为服务 30 万域名、月处理近 2000 亿查询的产品历程,强调其使命是让互联网更快,因此将 DNS 从付费附加项变为免费基础服务。同时介绍了近期改进:全面支持 IPv4/IPv6 双栈、采用 NSEC Black Lies 实现 DNS 安全扩展(DNSSEC)以保护区域隐私、新增 HTTPS/SVCB/TLSA/CDS/CDNSKEY 等高级记录类型。此外,Bunny DNS 深度集成平台其他服务,可通过一键加速启用 CDN、一键安全启用 Shield,实现性能、安全与路由的统一管理。标准账户仍需遵守每月 1 美元最低消费,但 DNS 本身不再产生基于使用量的费用。用户可通过自动区域扫描或导入 BIND 文件快速迁移,注册后即可免费使用。 Dejan Grofelnik Pelzel, Joe Connolly |
互联网年龄验证本质是身份验证将导致用户隐私受到系统性侵蚀🔗 本文探讨了互联网"出示证件"时代对个人隐私的威胁。文章以澳大利亚2025年实施的16岁以下社交媒体禁令为例,指出该法律要求平台收集用户的生物识别信息或政府颁发的身份证件进行年龄验证,但实际效果不佳——七成青少年仍在使用社交媒体,且数据泄露风险显著增加(如第三方验证应用被黑客攻击导致近7万用户信息泄露)。作者警告,英国计划的"加强版"年龄验证可能更严苛(如针对VPN的管控),美国多个州及联邦层面也在推进类似立法。这些措施将迫使所有互联网用户(无论年龄)在参与在线活动前必须提供身份信息,不仅无法有效保护儿童,还会扼杀匿名言论自由,带来数据滥用、审查风险和宪法第一修正案被侵犯的隐患。 Sarah McLaughlin |
curl漏洞上报引争议官方判定不用发安全编号🔗 curl作为拥有自主CVE分配权限的CNA,收到一处证书校验逻辑缺陷上报后,因该漏洞需本地高权限篡改hosts等多重极端条件叠加才能触发、现实难以利用,判定风险过低不予配发CVE;上报者不服向MITRE申诉,经多轮材料复核,MITRE最终支持curl的判定,明确仅具备现实利用风险的问题才适合分配CVE,理论级极低危害bug无需占用全行业安全运维资源。 Daniel Stenberg |
Steam Machine今日发布🔗 Valve 宣布 Steam Machine 将于 2026 年发售,起售价 1049 美元,并解释价格高于预期主要是受 AI 带动的内存和存储器件涨价影响,同时强调不会像传统主机厂商那样通过硬件亏本销售来补贴生态,而是坚持按成本定价、保持开放的 PC 平台理念。由于首批产能有限,购买将采用抽签预约机制,以减少黄牛抢购。 steampowered.com |
其他 |
我们所谓的“年龄验证”实际上是大规模监控🔗 文章指出,所谓的互联网“年龄验证”实际上是一种大规模监控,其侵入性和普遍性甚至超过了商业广告追踪技术。这种措施由反科技活动人士和保守派文化斗士共同推动,但背后却得到了科技巨头的支持,因为它们能从中获利。作者认为,保护儿童免受网络伤害的正确做法是停止监控,而非增加监控;任何声称通过监控来保护儿童的说法都是荒谬的,最终可能导致隐私被彻底剥夺,并被用于更恶劣的目的(如移民执法)。 Cory Doctorow |
我过去的工作只是因为诈骗而存在吗?🔗 文章作者David回顾了自己在GenieDB(一家被Frost VP风投基金收购的初创公司)的工作经历。他后来发现,该风投基金创始人Stuart Frost因向投资组合公司收取过高费用而遭SEC诉讼,涉嫌欺诈。作者怀疑自己赖以移民美国、改变人生轨迹的这份工作是否完全建立在欺诈之上。通过深入调查仲裁和诉讼文件,他发现GenieDB确实被用作向投资者抽水的工具,但作者也认识到公司本身有真实的技术概念,同事们也在努力开发产品,因此他并非完全沦为欺诈的工具。最终他接受了人生轨迹被偶然事件甚至犯罪行为影响的现实。 david |
赫库兰尼姆卷轴首次通过虚拟展开技术被完整阅读🔗 全文总结:本文报道了维苏威火山挑战赛团队首次完整地虚拟展开并阅读了赫库兰尼姆卷轴PHerc. 1667(即Scroll 4),该卷轴自公元79年维苏威火山喷发后密封,现在通过高分辨率X射线扫描、三维重建和机器学习技术,在不物理打开的情况下,成功读取了其全部希腊文内容。文本是一篇关于伦理学的哲学论文,证据指向斯多葛学派,最后列提到斯多葛学派创始人之一克里西波斯的侄子兼弟子阿里斯托克雷翁。此外,团队还通过更高分辨率成像技术直接识别了另一卷轴PHerc. Paris 4中的墨水,并在第三卷轴PHerc. 139中确定了其标题和作者——伊壁鸠鲁学派哲学家菲洛德穆的《论神》第8卷。这一成就得益于开放科学和全球合作,所有数据、代码和转录结果均已公开,供学者验证和进一步研究。 Vesuvius Challenge |
