前端&AI技术双周刊-2025.11.21

前端技术

• Security Best Practices
  Node.js项目维护了一个关于安全最佳实践的页面，该页面围绕如何缓解十大最重要的攻击向量进行组织。主题包括网络漏洞、定时攻击、供应链攻击以及内建函数的补丁。

• pnpm 10.21
  pnpm 10.21 发布，当设置为 “no-downgrade” 时，若软件包的信任级别相较于之前版本降低，pnpm 将安装失败。比如，若某个软件包之前由受信任发布者发布，如今只有出处信息或无信任证据，安装就会失败。这一特性有助于防止安装可能存在安全问题的版本，保障软件包安装的安全性 。

• esbuild 0.27
  esbuild 发布 v0.27.0 版本。此版本有向后不兼容的更改，建议在 package.json 中固定版本或使用仅接受补丁升级的版本范围语法。其改进包括，二进制加载器在可用时使用 Uint8Array.fromBase64 函数，不可用时则用旧代码；Go 编译器从 v1.23.12 更新到 v1.25.4，这提升了运行 esbuild 的操作系统要求，Linux 需内核 3.2 或更高版本，macOS 需 12（Monterey）或更高版本 。还提供了源代码（zip 和 tar.gz）下载。

• Node.js v25.2.0 (Current)
  该版本的核心更新是将“类型剥离”功能标记为稳定版，开发者可更可靠地移除代码中的类型注解，优化生产环境代码体积。

• Secure coding in JavaScript
  JavaScript 作为互联网前端语言，易成为攻击目标。文章给出十条安全编码建议

• Snapchat 开源 Valdi
  Snapchat 背后的团队开源了一个跨平台 UI 框架，该框架已在其生产应用中使用八年。开发者能用声明式 TypeScript 编写一次 UI，它能直接编译为 iOS、Android 和 macOS 上的原生视图，无需网页视图和 JavaScript 桥接，为跨平台 UI 开发提供了新的高效解决方案。

AI 资讯

• ERNIE-5.0-Preview-1022
  百度在百度世界大会上正式发布原生全模态大模型文心大模型5.0。2025年11月8日凌晨，LMArena大模型竞技场最新排名显示，文心全新模型ERNIE-5.0-Preview-1022在LMArena大模型竞技场文本排行榜与GPT-4.5-Preview并列全球第二、国内第一。

• Nano Banana Pro
  谷歌推出全新图像生成与编辑模型 Nano Banana Pro 。它基于 Gemini 3 Pro 构建，利用先进推理和知识，能生成更精准、内容丰富的可视化图像，含多种语言清晰文本，创意能力升级，可实现元素融合、场景创作及精细创意控制。

• Polaris Alpha
  OpenAI 在 OpenRouter 低调上线 Polaris Alpha，虽未官宣，但被猜测为 GPT-5.1。它支持 256K 上下文窗口，知识库更新至 2024 年 10 月，长文档理解等能力出色，知识广度扩展，创意写作自然，编程能力强，能生成完整小游戏代码。

• Gemini 3
  11 月 19 日凌晨谷歌发布最强推理模型 Gemini 3，集原生多模态、推理、Agent 多种能力于一身。它基于谷歌 TPU 训练，支持大上下文窗口。

• GPT-5.1
  OpenAI 推出新前沿智能编码模型 GPT‑5.1-Codex-Max。它基于基础推理模型更新构建，在开发周期各阶段更快、更智能、更省 token，适用于长时间、细节性工作。具备前沿编码能力，在多项评估中超越前代模型。

• Grok 4.1
  马斯克推出的 Grok 4.1 以 1483 Elo 分登顶 LMArena 智商榜、1586 Elo 分拿下 EQ-Bench 情商榜 ，实力远超谷歌 Gemini 2.5 Pro 等。同时其免费向网页端、iOS、Android 推出 beta 版，借此吸引大量用户，对谷歌、OpenAI 等造成冲击，也给普通人带来使用 AI 的好时机 。

• 蚂蚁集团灵光App上线
  蚂蚁集团发布全模态通用 AI 助手 “灵光”，可在移动端 30 秒自然语言生成小应用

• OceanBase seekdb
  OceanBase发布并开源了其首款AI数据库OceanBase seekdb。开发者仅需三行代码，即可快速构建知识库、智能体等AI应用，轻松应对百亿级多模数据检索，真正实现“开箱即用”的AI数据基座。

• Inworld TTS
  Inworld TTS 为数字角色注入了情感与个性，能够在短至 0.25 秒内合成富有情绪和自然非言语细节的语音，使虚拟人物摆脱了“机械朗读”的刻板印象 。该系统融合了秒级声线克隆与 WebSocket 实时流式传输等前沿技术，实现了超低延迟、可随时打断的互动体验，极大提升了游戏 NPC 和智能客服的交流方式。

• Vinsoo AI IDE
  Vinsoo Code推出全球首个云端多Agent团队IDE，实现项目级开发全自动

拓展阅读

• Safari 26.1
  本文介绍 Safari 26.1 的 WebKit 新特性与改进。新特性方面，重构渲染引擎处理 CSS 单位方式，使 SVG 引擎更易访问相对单位；对 CSS 锚点定位做了十几项改进，如记住最后成功的定位回退以减少布局跳跃。此外还有大量现有功能改进，涵盖可访问性、CSS、表单、PDF 等多个方面，修复众多问题，如修复滚动 iframe 内容的命中测试、改进某些选择器性能、修正原生文本输入背景颜色等

• Building a multi stage timetable with modern CSS using grid, subgrid, round (), and mod ()
  本文详细介绍了如何运用现代 CSS 技术构建多阶段时间表。作者先搭建 HTML 基础结构，定义阶段和会话；接着在 CSS 中设置变量、构建网格并利用 subgrid 等实现会话布局。还介绍了添加小时指示器，使其具有粘性和滚动对齐效果。对于会话标题的粘性问题，通过添加 “假” 标题结合滚动驱动动画解决。文中用到的 round () 和 mod () 函数在多数浏览器受支持，作者也为旧浏览器准备了 JS 备用方案，对前端开发者有较高参考价值 。

• Fix “width: 100%” Overflow Easily
  关于即将推出的CSS中“stretch”值的简要指南，该值在考虑填充和边距的同时，强制元素占据父容器的100%宽度/高度，从而在不使用calc()或box-sizing的情况下，轻松防止不必要的溢出。

• The Web Animation Performance Tier List
  文章围绕 Web 动画性能展开，先介绍浏览器渲染管道及线程相关知识，为动画技术分级做铺垫。将动画技术分为 S - F 级，阐述各级特点及示例。S 级可在合成线程运行，A - D 级依次性能递减，F 级是应避免的 “抖动” 情况。还提及诸多影响性能的因素，如 CSS 变量、SVG 属性、View Transitions 等，并给出优化建议。