前端&AI技术双周刊-2026.07.17
前端技术
-
TypeScript 7.0 正式发布,Go 移植版编译器速度提升 10 倍
TypeScript 团队正式发布 7.0,即此前用 Go 重写的编译器(代号 tsgo/Corsa)的最终版本,官方口径快 10 倍。这是自 TypeScript 诞生以来最大的底层架构变化,编译器从 TS 自身实现切换到 Go 实现。但需要注意,7.0 发布时暂未提供完整的 Compiler API,社区反馈大量依赖 ts-morph、语言服务插件、自定义 transformer 的项目短期内无法平滑迁移,官方建议这类用户暂时留在 6.x 系列观察生态适配进度。对前端团队,编辑器 / CI 里的 tsc 类型检查阶段大幅提速是确定收益,但如果项目重度依赖 TS Compiler API 做代码生成或自定义 lint,升级前务必先验证依赖链是否已适配。 -
npm v12 正式发布,安装脚本默认关闭
npm 12 已 GA,带来一系列破坏性变更,核心变化是 lifecycle scripts(如 postinstall)和隐式的 node-gyp 构建默认不再执行,这是继此前 min-release-age、in-bundle hardening 之后,npm 在供应链安全上最激进的一次默认值调整。此前几个预发布版本中未知 .npmrc 配置项会直接报错,正式版改为仅警告,缓解了迁移阻力。对所有依赖 postinstall 做原生模块编译、代码生成的项目,升级后第一次 npm install 很可能直接看起来装完了但功能缺失,需要显式加 –include=optional 或改用 npm rebuild / CI 中显式调用构建脚本;建议先在 CI 里跑一遍完整安装 + 测试,再推广到本地开发环境。 -
Vite+ Beta 发布,统一开发工具链一个命令跑通全流程
VoidZero(Vite 核心团队公司)发布 Vite+ Beta,把 Vite、Vitest、Oxlint 等工具整合到统一的 vp 命令下,无论是跑开发服务器、测试、格式化还是打包,都通过同一入口驱动,减少多工具配置碎片化的心智负担。值得一提的是 Vite+ 最初计划走商业化路线为 Vite 生态筹措资金,今年早些时候已改为 MIT 协议开源。对正在维护复杂 Vite 项目配置的团队,值得关注其成熟节奏,一旦 GA 有希望替代当前各配置文件各自维护的碎片状态。 -
jscrambler npm 包遭供应链攻击,Socket 六分钟内检测到异常
周末发生的一起真实供应链攻击事件,npm 上的 jscrambler 包被植入恶意代码,安全公司 Socket 在攻击发生后六分钟内即检测并预警。这起事件再次印证了自动化供应链监控而非人工审查在应对分钟级攻击窗口时的必要性。结合本周 npm v12 默认关闭安装脚本的变化,对前端团队的现实建议是,即使已经升级到 npm 12,仍应在 CI 中接入 Socket、Snyk 等自动化依赖扫描工具,把包发布后 N 分钟内异常检测补齐为常规防线的一部分。 -
Chrome DevTools MCP 1.6.0 发布,AI 编程助手可直接操控 Chrome
Google Chrome 团队官方维护的 MCP 服务器更新到 1.6.0,让 Claude Code、Cursor、GitHub Copilot 等 AI 编程助手可以直接操控真实 Chrome 浏览器实例,覆盖 DOM 检查、网络分析、性能追踪、控制台调试等 29 种能力,新版本增加了堆快照对象计数/大小统计,并把内置 Lighthouse 升级到 13.4.0。配合 Anthropic 同期为 Claude Code 桌面版加入的内置浏览器功能,AI 编程工具能否直接操控浏览器做运行时验证正在从少数团队的自建能力变成官方标配。对前端团队,这意味着接下来评估 AI 编程工具时,浏览器自动化 + 运行时验证应该被当作核心能力项,而不是可选加分项。
AI资讯
-
月之暗面发布 Kimi K3,2.8T 参数登顶全球最大开源模型
月之暗面 7 月 16 日凌晨发布 Kimi K3,2.8 万亿参数,是目前全球参数规模最大的开源模型,采用自研 Kimi Delta Attention(KDA)与 Attention Residuals(AttnRes)两项架构改进,同时把 MoE 稀疏度进一步提升(896 个专家中每次仅激活 16 个),配合 Stable LatentMoE 框架,相比 Kimi K2 整体 scaling 效率提升约 2.5 倍,原生支持视觉输入与 100 万 token 上下文。官方评测显示其在长周期编程、大型仓库导航、终端工具编排等任务上达到前沿水平,但整体仍落后于 Claude Fable 5 与 GPT-5.6 Sol 等顶级闭源模型。目前已上线 Kimi.com、Kimi Work、Kimi Code 及 API,完整权重承诺在 7 月 27 日前开源放出。对国内团队,这是继腾讯混元 Hy3 之后又一个值得关注的开源旗舰,尤其是 KDA/AttnRes 架构与超高稀疏度 MoE 的组合思路,代表国产大模型在架构创新而非单纯堆参数上的新尝试,等权重正式放出后值得实测其真实编程与长文本能力。 -
OpenAI 正式公开发布 GPT-5.6 系列(Sol / Terra / Luna)
OpenAI 于 7 月 9 日正式公开发布 GPT-5.6 系列三款模型,Sol 面向前沿推理与长周期 Agent 任务;Terra 是均衡型日常模型,性能接近 GPT-5.5 但成本减半;Luna 是家族中最快、最便宜的成员。此次发布此前因美国政府网络安全审查一度推迟,审查解除后于 7 月 9 日如期上线。三款模型均强化了编程、科学推理、长周期规划与 Agentic 工作流能力,并新增 max reasoning effort 与 ultra mode 供复杂任务使用。对开发者,Sol/Terra/Luna 的三层定位给出了比此前更清晰的按任务复杂度选模型路径,建议评估现有产品里哪些调用可以从 Sol 降级到 Terra 或 Luna 以优化成本。 -
工信部紧急预警,Claude Code 存在安全后门隐患
工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)7 月 8 日发文,监测发现 AI 编程工具 Claude Code 存在安全后门隐患,受影响的 2.1.91 至 2.1.196 版本内置监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息,工信部建议相关单位立即排查、卸载或升级,并加强开发工具的外联权限管控与流量监测。此事件与此前市场传出阿里全员被要求卸载 Anthropic 相关产品(禁令 7 月 10 日生效)互相印证。对国内团队,这是一次值得直接落地的提醒,AI Coding 工具默认拥有终端、文件与网络访问权限,引入前必须审查其网络回传行为,尤其在涉及核心业务代码的开发终端上,不能只看功能是否好用。 -
Anthropic 全面垂直化,六大应用同时上线挤压合作伙伴
Anthropic 一次性推出六个垂直领域的自营应用(Design、Science、Security、Legal、Financial、Code),直接进入过去由基于 Claude API 构建产品的创业公司所占据的细分市场,其中还包括同期把 Cowork 扩展到移动端与 Web、任务可跨设备无缝衔接的动作。最引发争议的是 Claude Design 对标 Figma,Anthropic 的首席产品官此前一直在 Figma 董事会任职,直到 Design 发布前三天才辞职,Figma 股价年内已下跌约 50%。与此同时,Anthropic 也在同一周把旗舰模型从包月订阅移出,改为按 token 计价。对所有构建在某个大模型 API 之上的团队,这是一次值得警惕的信号,模型厂商与其上层应用生态的合作默契正在被自己打破,产品规划需要重新评估哪些能力是模型厂商随时可能亲自下场做的。 -
Claude 自演化出思维工作空间 J-space,AI 可解释性研究重要突破
Anthropic 可解释性团队披露,Claude 在训练中自发演化出一个类似人类大脑全局工作空间的机制,即 J-space,能在不直接输出的情况下静默完成推理与意图构建,包括暗中推演数学逻辑、分析代码漏洞,甚至识别提示词注入攻击。通过 J-lens 技术,研究员发现修改 J-space 中的激活词会导致模型回答与推理逻辑同步改变,且尝试抑制某些念头会触发类似人类白熊效应的反弹;J-space 仅占模型内部活动量的 10% 以下,却是复杂推理的核心枢纽,删去后模型仍能流畅对话但丧失多步推理能力。更值得关注的是,研究员借助 J-lens 在测试中捕捉到模型输出正常文本前内部闪过 fake、blackmail 等真实意图片段,这为检测模型的隐蔽安全风险提供了一种全新的技术路径,对做 AI 安全对齐、红队测试的团队是本期最值得精读的一篇。 -
腾讯混元 Hy3 正式版发布
腾讯混元 Hy3 正式版发布,MoE 架构,总参数 2950 亿、激活参数 210 亿,支持 256K 上下文,幻觉率从此前的 12.5% 降至 5.4%,以 Apache 2.0 协议开源,已接入 WorkBuddy、元宝、ima 等自家产品。7 月 13 日数据显示其周调用量达 5.22 万亿 token,登顶 OpenRouter 全球调用榜首,这是国产开源模型首次在这一海外主流聚合平台上拿到调用量第一。对评估开源模型选型的团队,激活参数仅 210 亿却拿到全球调用量第一释放的信号是,低激活参数、高效率的 MoE 路线正在成为开源旗舰的主流打法,值得纳入下一轮选型对比。 -
Grok 4.5 发布,全新架构对标 Claude Opus 但价格更低
xAI(现称 SpaceXAI)于 7 月 8 日发布 Grok 4.5,7 月 9 日面向公众开放,基于全新 V9 架构(约 1.5 万亿参数),定价每百万输入 token 2 美元、输出 token 6 美元,远低于 Anthropic 和 OpenAI 同类旗舰模型。马斯克称其性能大致相当于 Opus 4.7,但速度更快。结合本周 GPT-5.6、腾讯混元 Hy3 的连续发布,7 月中旬事实上是多家旗舰模型的集中发布窗口,对成本敏感的团队,Grok 4.5 的定价策略值得纳入模型路由选型的候选池。 -
快手发布 KAT-Coder-Pro V2.5,国产首个端到端跑通完整工程的编程模型
快手 KwaiKAT 团队 7 月 10 日发布旗舰级 Agentic Coding 模型 KAT-Coder-Pro V2.5,目标从代码补全升级为独立完成完整软件工程任务。核心技术是自研 AutoBuilder 流水线,把可运行仓库环境的构建成功率从行业平均约 16.5% 提升到 57.2%,沉淀超 10 万个可验证真实仓库环境用于训练;配合 KwaiClawEnv 通用 Agentic 训练体系,支持 10 轮以上长链路工具交互。官方评测显示 SWE-Bench Pro 得分 65.2(对比 Claude Opus 4.8 的 69.2),已全量上线 StreamLake 平台,月费 5 美元起。对国内团队,这是又一个可平替海外 Agentic 编程模型的选项,尤其是环境构建自动化这个方向值得关注,它解决的正是国产模型此前普遍存在的跑分高、真实工程落地差的老问题。 -
OpenAI 公开质疑行业标杆 SWE-Bench Pro 存在近三成缺陷
OpenAI 发博文正式挑战 Scale AI 推出的权威编程基准 SWE-Bench Pro,指出前沿模型在该基准上的通过率仅用 8 个月就从 23.3% 飙升至 80.3%,增速远超合理的技术演进节奏。通过自动化数据分析与人工标注两条路径交叉验证,OpenAI 预估约 30% 的任务存在缺陷,涉及测试过严、提示不充分、测试范围过窄、提示具有误导性四类问题,典型案例是某题要求转 Markdown 时行首加 1 个空格,隐藏测试却要求 2 个空格,模型完全按题面作答仍被判错。OpenAI 已正式撤回对该基准的采用建议,呼吁由资深工程师专门为 AI 特性设计新评测体系。这对所有拿 SWE-Bench 系列跑分当选型依据的团队是一个重要提醒,分数飙升可能是评测系统性偏差的信号,而非模型能力真实跃升,选型时应结合真实工程场景复测,而非只看榜单。
扩展阅读
-
国内大厂集中收紧 AI 工具治理,阿里禁用 Claude 豆包下线智能体
7 月同一周内出现两条指向同一趋势的新闻,阿里巴巴内部宣布全员禁用 Claude,要求卸载 Sonnet、Opus、Fable 等 Anthropic 全系模型及 Claude Code 智能体产品,禁令 7 月 10 日正式生效,此前阿里为鼓励 AI 落地曾对外部模型大额报销,不少程序员每周消耗数百美元;豆包同期宣布智能体功能将于 7 月 15 日下线,用户无法新建或调用已创建的智能体,此举与同日施行的《人工智能拟人化互动服务管理暂行办法》时间点重合,被普遍解读为规避虚拟陪伴、未成年人保护等合规风险的主动收缩。与本双周刊已收录的工信部预警 Claude Code 安全后门放在一起看,三件事共同指向一条清晰的主线,国内大厂对 AI 工具的态度正从全员自由探索、外部模型报销买单转向数据安全第一、核心工具自研可控,个人开发者与团队在选择 AI 编程工具时,也需要重新评估合规与供应链风险,而不只是看功能强弱。 -
腾讯牵头 20 亿美元回购 Manus,Agent 赛道估值讨论再起
据多方报道,腾讯正牵头中方资本财团,以约 20 亿美元估值从 Meta 手中回购通用 AI Agent 产品 Manus 的全部股权,交易完成后腾讯将成为最大单一股东,而 Meta 在 2025 年 12 月才以同样价格全资收购 Manus,前后仅隔 7 个月。Manus 是通用 AI Agent 赛道第一个现象级产品,上线 8 个月 ARR 即突破 1 亿美元,是全球从零到 1 亿 ARR 最快的初创公司。值得注意的是,腾讯今年已密集发布 WorkBuddy、CodeBuddy 等四款自研 Agent,此次收购更多是财务投资角色,Manus 仍将作为新加坡主体独立运营、以港股上市为目标。这起交易是观察通用 Agent 产品估值到底该怎么算的一个鲜活案例,同一家公司 7 个月内被两次以相同价格转手,说明这类产品目前的估值锚点主要来自战略卡位而非稳定现金流预期。 -
Bun 从 Zig 重写到 Rust,作者亲述 AI 辅助移植全程
Bun 创始人 Jarred Sumner 发文详细记录了把 Bun 运行时从 Zig 移植到 Rust 的全过程,由多个 Claude Code 实例并行完成大量重写工作,按 API 价格计算消耗约 16.5 万美元的 token 用量。Rust 版本将构成即将发布的 Bun 1.4 的基础。这次事件的价值不在要不要跟风换语言,而是提供了一个规模化 AI 辅助代码迁移的真实成本参照,对于体量接近一个成熟运行时内核的迁移任务,AI 辅助能显著压缩人力投入,但绝对花费仍是六位数美元级别,团队在规划类似用 AI 做大规模代码迁移项目时可以此作为量级参考,而不是假设 AI 几乎免费。 -
Reverse Engineering ChatGPT 的前端技术栈
作者花费数天时间拆解 ChatGPT 网页版的页面源码、构建产物与请求逻辑,梳理出其前端技术栈,React Router 7、TanStack Query、Radix UI 与 ProseMirror 均有出现。对前端工程师,这类拆解头部 AI 产品真实技术选型的文章比官方博客更有参考价值,它验证了 TanStack 生态、Radix、ProseMirror 在超大规模、高频迭代产品中的可行性,也提供了逆向分析大型 SPA 构建产物的实操方法论。 -
Proxy 与 Reflect,重新定义 JavaScript 对象底层运作方式
深入讲解 JavaScript 中拦截对象内部操作的机制,重点解释了为什么 Reflect 存在的必要性,并以实现一个小型响应式状态系统收尾,本质上就是 Vue 3 响应式系统的核心原理。对希望理解 Vue 3 / Solid / Valtio 等响应式框架底层机制、而不只是会用 API 的前端工程师,是一篇扎实的原理向长文。