前端&AI技术双周刊-2026.05.22

前端技术

• TanStack npm 攻击事件分析：供应链安全警示
  新型 Shai-Hulud 蠕虫攻击向 npm 发布了 42 个 TanStack 恶意包（影响 170+ 其他包），包含检测令牌撤销时删除文件的触发器。攻击者通过链式利用 pull_request_target 滥用、缓存投毒和 CI 内存中的 OIDC 令牌窃取。建议设置发布冷却期（npm config set min-release-age=7）防范此类攻击。

• npm RFC：安装脚本应默认关闭
  GitHub 工程师提议 npm 安装脚本应默认关闭，因为 postinstall 等脚本已成为主要安全弱点。这是包管理安全的重要讨论，开发者应关注其影响和替代方案（如 npq 工具）。

• GitHub Issues 导航性能优化：从 600ms 到 70ms
  GitHub 基于 local-first 和 stale-while-revalidate 模式重构 Issues 导航，使用 IndexedDB 缓存实现即时渲染，70% 的 React 导航变为即时响应，P10 延迟从 600ms 降至 70ms。这是前端性能优化的经典案例，值得学习其缓存与预取设计思路。

• ShadowRealm 提案：隔离 JavaScript 执行环境
  TC39 ShadowRealm 提案进展更新，允许在隔离的”伪领域”中运行 JavaScript，拥有独立的全局对象和内置对象。这对运行第三方代码、插件系统等场景非常有用，是前端安全的重要进展。

• Bun 1.3.14 发布：新增 Bun.Image
  Bun 1.3.14 新增 Bun.Image API，增强 HTTP/2 和 HTTP/3 支持，并改进 Node.js 兼容性。Rust 重写版本已合并，值得关注其性能和稳定性改进。

• Deno 2.8 即将发布
  Deno 2.8 即将发布，带来重大 Node.js 兼容性改进、import defer 支持和 TypeScript 6.0.3。Deno 持续提升与 Node.js 生态的互操作性，值得开发者关注。

• Fate 1.0：现代化 React 数据框架
  前 Jest 负责人、前 Meta 工程师开发的 React 数据框架，支持规范化缓存、视图共置、单根请求组合，兼容 tRPC 和原生 HTTP，已在 Prisma 和 Drizzle 上提供服务器端支持。1.0 版本新增 SSE 实时视图和垃圾回收。

• TanStack Form 发布：现代化表单解决方案
  TanStack Form 正式发布，采用无头架构设计，状态和验证由 TanStack 管理，渲染完全由开发者控制。支持多种框架，提供强大的类型安全保障和灵活的定制能力。

• Alien Signals：最轻量的信号库
  融合 Vue、Preact 和 Svelte 的最佳实践，打造出最轻量的信号库。其推送-拉取响应式核心性能优异，已被合并回 Vue，展示了响应式设计的新思路。

• React Router v7.15.0 发布
  React Router v7.15.0 发布了一系列 API 调整，为即将在”一两个月内”发布的 v8 版本做准备。开发者应关注这些 API 变更，提前做好迁移准备。

AI 资讯

• Google 发布 Gemini 3.5 Flash：更快更便宜的 Agent 模型
  Google 在 I/O 2026 发布 Gemini 3.5 Flash，这是 Gemini 3.5 系列的首个模型。token 生成速度快 4 倍，在编码和 Agent 基准测试中超越 Gemini 3.1 Pro，将成为 Gemini app 和 AI Mode in Search 的默认模型。同时发布 Antigravity 2.0 平台和 Gemini Spark 个人 AI 助手，标志着 Google 全面进入”Agent 时代”。

• Anthropic 推出 Claude Managed Agents “dreaming” 功能
  Anthropic 为 Managed Agents 推出”做梦”功能，让 Agent 在空闲时回顾过去会话、提取模式、更新记忆，实现自我改进。同时推出 outcomes（结果评估）和 multiagent orchestration（多智能体编排）功能，帮助团队构建更强大的智能体系统。

• OpenAI 发布新一代实时语音 API 模型
  OpenAI 推出三类实时语音模型：GPT-Realtime-1.5（实时语音交互）、GPT-Realtime-Translate（实时翻译）、GPT-Realtime-Transcribe（实时转录）。支持在语音对话中进行推理、翻译和转录，为开发者构建自然语音应用提供强大能力。

• 阿里打通AI购物全链路：千问与淘宝深度融合
  千问与淘宝全面打通，用户可通过千问App完成淘宝商品挑选、对比及下单购买。淘宝上线”千问AI购物助手”，提供AI试穿、AI算优惠、AI低价帮抢等功能。实现了从商品推荐到下单、履约、售后的AI购物全流程闭环，标志着阿里AI电商的重要突破。

• 字节火山引擎发布 Agent Plan：业界首个”Agent 套餐包”
  火山引擎发布业界首个”Agent 套餐包”，集成字节跳动自研 SOTA 模型（Doubao-Seed、Doubao-Seedance 等）和 GLM-5.1、Kimi-K2.6 等主流模型，首次深度整合 Model 与 Harness 能力。价格 40 元/月起，适配 Claude Code、OpenCode、TRAE、OpenClaw 等平台，降低 Agent 开发门槛。

• Google Gemini Intelligence：为 Android 带来主动式 AI
  Google 为 Android 引入 Gemini Intelligence，让 Android 设备更智能、更主动。AI 可以在后台主动提供建议和帮助，无需用户主动触发，展示了 AI 从被动响应向主动服务的演进方向。

• KPMG 在核心业务中集成 Claude
  KPMG 与 Anthropic 建立战略联盟，在超过 27.6 万员工的核心业务中集成 Claude，展示了企业级 AI 应用的规模化落地。

• Claude for Small Business 正式发布
  Anthropic 推出面向中小企业的 Claude 解决方案，降低企业级 AI 应用的门槛，让更多中小企业能够享受到大模型能力。

• Anthropic 收购 Stainless，强化 API 工具链
  Anthropic 收购 API 开发工具公司 Stainless，将加强 Claude API 的开发者体验，预示着 AI 公司对开发者生态建设的重视程度持续提升。

• Gemini API 推出 Managed Agents
  Google 在 Gemini API 中引入 Managed Agents，简化智能体开发流程，让开发者能够更轻松地构建复杂的多步骤 AI 应用。

• Gemini for Science：科学发现新时代
  Google 推出 Gemini for Science，提供 AI 实验和工具助力科学发现，展示了 AI 在科研领域的应用潜力。

• Google Gemini App 更加智能化
  Gemini App 变得更加主动，提供 24/7 智能帮助，支持纸质笔记数字化、文件生成等新功能，展示了 AI 助手的未来发展方向。

• 阿里发布 Qoder 1.0，全流程代码智能助手
  阿里发布 Qoder 1.0，可全面接管代码生成、验证和交付流程，将 AI 编程助手的能力边界从代码补全扩展到完整开发流程。

• 腾讯开源 Agent 记忆技术方案
  腾讯开源 Agent 记忆技术方案，Token 消耗最高降低 61%，为构建长时运行的智能体提供了高效的技术解决方案。

• The Open Agent Leaderboard 发布
  IBM 发布 Open Agent Leaderboard，为智能体性能评测提供开放基准，推动 Agent 技术的标准化发展。

• PaddleOCR 3.5 发布
  PaddleOCR 3.5 支持 Transformers 后端运行 OCR 和文档解析任务，为文档处理提供更灵活的技术选择。

• NVIDIA Cosmos Predict 2.5 支持 LoRA/DoRA 微调
  NVIDIA Cosmos Predict 2.5 支持使用 LoRA/DoRA 进行机器人视频生成微调，为机器人视觉任务提供了高效的模型定制方案。

• Granite Embedding Multilingual R2 开源
  IBM 发布 Granite Embedding Multilingual R2，Apache 2.0 开源协议，支持 32K 上下文，是百亿参数以下检索质量最佳的多语言嵌入模型。

拓展阅读

• Valibot v1.4.0：轻量级 TypeScript 模式验证库
  Valibot 是轻量、模块化的 TypeScript 模式验证库，作为 Zod 的替代方案。v1.4.0 带来新特性和性能优化，适合需要类型安全验证的项目。

• zero-native：Vercel Labs 桌面应用框架
  Vercel Labs 推出的桌面应用框架，基于 Zig + WebView 构建，可与 Neutralinojs、Electron、Tauri 等方案竞争。支持使用系统 WebView 或 Chromium，提供 vanilla、React、Svelte、Vue 示例。

• Orval：OpenAPI/Swagger 类型安全客户端生成器
  从 OpenAPI v3 或 Swagger v2 规范生成类型安全的客户端代码，支持 React、Vue、Svelte、Solid、Hono 等多种框架，也可生成纯 fetch 代码。大幅提升 API 集成效率和类型安全性。

• SVAR Calendar：多框架日历组件
  灵活的日历组件，同时支持 React、Svelte 和 Vue，MIT 许可的核心版本免费，提供在线演示。是跨框架日历需求的有力选择。

• ESLint Config Inspector 3.0：可视化 ESLint 配置检查
  可视化工具用于检查和理解 ESLint flat configs，帮助开发者更好地理解和调试 ESLint 配置，提升代码规范管理效率。

• React 到 Web Components 迁移实践：节省 100KB
  作者分享将站点从 React 迁移到原生 Web Components 的经验，迁移后体积减少 100KB。过程中形成的模式发展为一个小型库 nanotags，展示了 Web Components 在特定场景下的优势，为技术选型提供了新的参考。