前端&AI技术双周刊-2026.04.10刊

前端技术

• Node.js 25.9.0
  Node.js 25.9.0 主要更新：测试运行器模块 mock 合并 defaultExport 和 namedExports 为 exports；AsyncLocalStorage 支持 using 作用域；新增 –max-heap-size 选项；支持 TurboSHAKE 和 KangarooTwelve 加密算法；SEA 单文件可执行程序支持 ESM 入口代码缓存；REPL 移除 node:domain 依赖并支持自定义错误处理

• ESLint v10.2.0
  ESLint v10.2.0 新增 meta.languages 属性支持语言感知规则，规则作者可声明支持的语言。同时因 Temporal 提案已达 TC39 Stage 4，ESLint 将其识别为内置全局对象，no-undef 不再报错，no-obj-calls 会拦截直接调用 Temporal

• JetStream 3
  WebKit 联合 Google、Mozilla 发布 JetStream 3.0，重大更新包括：测量完整生命周期而非孤立阶段、使用真实工作负载替代微基准、跨浏览器协作开发。WebKit 团队为此优化了 JavaScriptCore：WasmGC 分配内联、Promise.then JIT 内联、BigInt 算术优化、异步函数执行改进等

• JSIR: A High-Level IR for JavaScript from Google
  Google 开源 JSIR，用于 JavaScript 代码分析和转换的高级 IR。设计亮点：1）可逆转换（IR↔AST↔源码），支持源到源转换；2）遵循 ESTree 规范，操作与 AST 节点 1:1 映射；3）SSA 形式表示，同时保留所有源码级信息。已在 Google 生产环境部署，是 Babel AST 的下一代替代方案。

• npm Workspaces
  npm 支持根 package.json 定义 workspaces 字段、依赖提升共享 node_modules、workspace 间相互引用、批量脚本执行。适合需要管理多包项目的团队

• Node.js 2026 年 3 月安全修复
  Node.js 发布 3 月安全更新，修复 2 个高危漏洞：CVE-2026-21637（TLS 的 SNI 加载导致远程 DoS）、CVE-2026-21710（proto 请求头导致进程崩溃）。同时修复 HTTP/2 内存泄漏、权限模型绕过、V8 HashDoS 等中危漏洞。影响 20.x/22.x/24.x/25.x 版本，建议尽快升级

• axios 包被恶意入侵
  axios 官方包 3 月 31 日被入侵发布恶意版本 1.14.1 和 0.30.0。攻击者通过添加假依赖 plain-crypto-js 植入远程访问木马，利用 postinstall 钩子执行后自毁，node_modules 中无痕迹。影响 macOS/Windows/Linux 全平台，建议立即检查 lock 文件升级到安全版本 1.14.0

AI 资讯

• 神秘模型HappyHorse-1.0登顶文生视频榜
  匿名模型 HappyHorse-1.0 空降 Artificial Analysis 文生视频榜榜首，Elo 得分 1379 超越字节 Seedance 2.0 和快手可灵 3.0。图生视频赛道同样领先

• Anthropic发布Claude Managed Agents公测版
  Anthropic 推出 Claude Managed Agents 公测版，一站式解决AI代理生产部署。融合性能优化的代理框架与生产级基础设施，帮助开发者缩短从实验到生产的周期，实现AI代理商业化落地

• Coze 2.5
  字节扣子发布 2.5 版本，推出 Agent World 平台，为每个 Agent 配备云电脑、云手机、独立邮箱（@coze.email），构建”平行网络”数字生态。Agent拥有独立身份、长期记忆，可7×24小时自主运转。同时升级视频创作Agent，支持一键全流程创作

• Creao AI
  Creao AI 提供 AI Super Agent 平台，用户通过自然语言对话即可创建可复用的 AI Agent 应用，自动化执行从简单任务到复杂工作流

• Google 发布 AI Edge Eloquent 助力离线语音转文本
  4 月 8 日讯，Google 近日正式发布了名为 “Google AI Edge Eloquent” 的 iOS 应用程序，旨在探索端侧 AI 技术在语音转文本领域的实际应用。该应用定位介于实验性项目与实用工具之间，核心功能在于将用户随意、杂乱的口语实时转化为精炼、结构化的书面文本，且全程无需依赖网络连接。此外，Eloquent 还提供词汇表自定义功能，支持导入 Gmail 常用语以提升特定术语识别准确率，并提供详细的使用统计

• OpenAI 加速 GPT-6 研发
  4 月 7 日，据 pasquale pillitteri 报道，OpenAI 正全力推进代号为 “Spud” 的 GPT-6 模型研发，该项目已在德克萨斯州 Stargate 数据中心完成预训练。OpenAI 总裁 Greg Brockman 确认，GPT-6 并非简单的增量更新，而是模型开发方式的重大变革

• Claude 4 小时血洗全球最安全系统，人类最后防线失守
  全球最安全系统，被 AI 攻破了！Claude 4 小时攻破了全球最安全 OS 内核，从零写出国家级攻击程序，彻底跨越卢比孔河。人类防御 60 天，AI 只要 4 小时，所有旧秩序，都在加速崩盘。这是首份确凿证据，AI 能够自主生成过去只有国家级项目才能实现的进攻性能力。整个软件安全领域都地震了。它从辅助人类安全研究者的工具，变成能执行复杂进攻的自主行动中。

• 滴滴出行开放打车 Skill，”龙虾”叫车全程不需要切换 App
  4 月 4 日消息，滴滴出行宣布开放打车 Skill（didi-ride-skill-official）。安装之后，用户可以直接对龙虾说出打车需求，或者让它记住你的习惯。从地址搜索、车型预估、价格确认，到下单、回查订单状态，全程不需要切换 App，只需要自然地表达需求，剩下的就交给滴滴打车 Skill 来完成。

• Anthropic 宣布”封杀” OpenClaw，订阅用户使用 OpenClaw 需额外付费
  4 月 5 日消息，据外媒报道，对于 Claude Code 订阅用户而言，搭配 OpenClaw 及其他第三方工具使用 AI 大厂 Anthropic 旗下代码助手的成本即将上涨。网络上流传的一封客户邮件显示，Anthropic 表示，从 4 月 4 日起，订阅用户将无法再使用 Claude 订阅额度来使用 OpenClaw 等第三方集成工具。用户如需继续使用，必须通过与订阅分开计费的按量付费方式购买额外使用量。

• TRAE SOLO
  字节跳动 TRAE 发布 SOLO 独立端（PC+Web），从 AI Coding 升级至 AI Development。支持 MTC（More Than Coding）模式，产品经理、运营、数据分析师、研发均可使用。实测显示：7 分钟生成 PRD+原型、18 页活动 PPT、自动数据清洗可视化报告、全栈代码开发。打破岗位壁垒，统一智能工作流覆盖需求到落地全流程

• Claude Code 引入 “Computer Use” 能力
  Claude Code 通过 Computer Use 功能实现命令行直接操控 GUI 应用。在获得授权后，Claude Code 可以直接打开系统的 GUI 界面、点击浏览器测试页面、甚至操作开发者工具。这意味着 Agent 的边界正式从”代码补全”扩展到了”系统级自动化测试”。

• Google 推出 TurboQuant 解决 LLM 内存瓶颈
  Google Research 团队于 3 月 24 日正式发布了名为 TurboQuant 的免训练（Training-free）压缩算法。现代大模型推理的核心瓶颈在于随上下文长度线性增长的 KV Cache。TurboQuant 能将 KV Cache 极端压缩至每元素 3-4 bits（内存减少近 6 倍），并在 GPU 上实现最高 8 倍加速，且几乎零精度损失。这使得在普通消费级硬件上运行超长上下文或复杂智能体工作流成为可能。

• Google 发布 Gemini 3.1 Flash Live 音频模型
  Google 发布 Gemini 3.1 Flash Live，号称最高质量音频语音模型。在 ComplexFuncBench Audio 基准测试达 90.8%，支持多步函数调用；Scale AI Audio MultiChallenge 得分 36.1% 领先。开发者可通过 Gemini Live API 使用，企业客户可用于客服场景，普通用户可在 Search Live 和 Gemini Live 体验，已支持 200+ 国家/地区。所有音频输出均带 SynthID 水印防伪造

• Anthropic Claude Code 发生重大源码泄露
  Anthropic 于 3 月 31 日意外在 npm 包中泄露 59.8MB 源代码（约 51.2 万行 TypeScript），暴露 Claude Code 核心架构：三层记忆系统（Self-Healing Memory）、KAIROS 自主后台模式、未发布模型代号（Capybara/Fennec/Numbat）、”Undercover Mode” 隐秘贡献功能。

拓展阅读

• Marked.js 高性能 Markdown 解析器
  Marked 是一个低级别的 Markdown 编译器，以速度和轻量著称，支持在客户端或服务端运行。支持 Markdown 1.0（100%）、CommonMark 0.31（98%）、GitHub Flavored Markdown 0.29（97%）等规范。提供 CLI 和 API 两种方式，支持扩展插件系统。需要注意的是默认不净化 HTML 输出，处理不可信内容时需配合 DOMPurify 等工具防止 XSS。

• CSS 扩展：原生特性替代 Floating UI/GSAP 等库
  CSS 新特性正在替代大量 JS 库

• 2026 年 JavaScript 开发者必知的技术更新
  CSS 新特性正在替代大量 JS 库：锚点定位取代 Popper/Floating UI；Popover API+Dialog 元素替代 Radix/Headless UI；滚动驱动动画替代 GSAP ScrollTrigger；视图过渡 API 替代 Framer Motion；可定制 select 替代 react-select。文章统计可删除约 322KB JS 依赖，同时提升 INP/LCP/CLS 等 Core Web Vitals 指标。

• Pretext
  Pretext 由前 React 核心开发者 Cheng Lou 开源，解决不接触 DOM 计算换行文本高度的问题。通过 prepare() 预分词测量 + layout() 模拟浏览器换行逻辑，性能远超传统方案。引擎仅数 KB，支持多语言混合（含韩文 + 阿拉伯 RTL + emoji），测试覆盖《了不起的盖茨比》全文及中泰日韩阿等多语种文档。

• ArtPlayer
  ArtPlayer 是功能丰富的现代 HTML5 视频播放器，支持 HLS/DASH/FLV/MPEG-TS 等流媒体格式。内置弹幕、广告、缩略图预览、多字幕、Chromecast 等插件生态

• Inertia.js 3.0
  Inertia.js 让你用 Laravel/Rails/Django 后端直接驱动 React/Vue/Svelte 前端，无需 API。支持 SSR、部分重载、表单验证，适合想要 SPA 体验但不想维护 API 的团队

• Transformers.js v4.0
  Transformers.js v4 历经一年开发正式发布，最大亮点是全新 C++ 重写的 WebGPU 后端，支持在浏览器、Node、Bun、Deno 多环境运行。新增 ModelRegistry API 提供生产级模型管理，支持 8B+ 大模型（测试 GPT-OSS 20B 达 60 tokens/秒）。新增离线缓存和自定义 fetch 支持，覆盖 200+ 模型架构