每周见闻(68):插件+1 [MiaoMint] —— 类 RayCast 的标签管理插件
每周见闻:2026-05-18 - 2026-05-24
MiaoMint - 类 RayCast 的标签管理器
其实这个插件去年底就上架 Chrome 应用商店了,只是我一直偷懒没写介绍文案。然后我发现最新的 Chrome 在右上角有了个类似的功能……
那就介绍一下我的插件吧。这是一个标签页管理器,受到 Zen 的 Cmd + T 的启发,Vibe 了这么一个插件。
通过 Alt/Opt + M 打开插件,类似 RayCast。可以快速切换、搜索标签页、收藏夹、历史记录。所有数据都在浏览器本地(主要是我不想掏服务器的钱)。
已经在 Chrome 商店上架,搜索 MiaoMint 即可。也欢迎访问官网 MiaoMint
商业
1、对话安克阳萌:让我们抽象一下,公司是最难的产品[^1]
标签:思考,访谈
晚点关于安克创新创始人阳萌的访谈。内容关于安克的定位、战略、发展以及创始人个人的想法。安克创新的阳萌在访谈中透露出更多的是“稳”和“扎实”的风格。阳萌形容自己是“激进的保守主义者”,每次只投入一半筹码,但持续投入,以此在确定性中前进。
这个系列很有意思,内容也很深。可以看到不同企业家的不同风格,但在深处又有一些相似的地方。
技术
1、国产CodingPlan“玩不起”,玩GPT5.5去了!难受啊! 最近国产的 CodingPlan 全面收拢,要么转 T - 掘金[^2]
标签:Codingplan,AI
作者在 2026 年 4 月对多款国产 CodingPlan 编程助手进行了实测,发现这些产品普遍存在能力不足、配额缩减、价格偏高的问题。
通过 5 万字的小说编写,测试了 Kimi、火山、MiniMax、智谱 GLM 4 款产品。Kimi的配额消耗极快且模型信息陈旧;火山模型信息同样陈旧但消耗上略好;MiniMax 能力稍弱且 API 报错较多;智谱 GLM 模型信息准确但速度和字数误差较高。
作者得出的结论是:要快、要强、要能干有Opus4.7;要快、要强、要能干、要配额有GPT5.4,而国产套餐Pro档普遍定价200元,能力却远不如20美金的海外产品。尽管对国产模型感到失望,但作者仍期待新发布的 DeepSeek V4 能改变现状。
我之前也在考虑更换 Coding Plan,好在熬到了 DeepSeek V4 的发布。从我个人的体验来看,模型能力是一部分,Agent 容易也是一部分。DeepSeek V4 配合 Claude Code 生成出的结果也是很不错的。
2、Mini Shai-Hulud Strikes Again: 317 npm Packages Compromised[^4]
标签:Node.js,NPM,Security
本周的 NPM 攻击事件。安全研究团队 SafeDep 披露了一起大规模 npm 软件供应链攻击事件,共有 317 个 npm 包被植入恶意代码。这些被攻陷的包主要来自阿里巴巴旗下的 AntV 可视化生态系统,同时也波及了其他多个流行的开源项目。
没想到这次被攻击的居然是阿里的依赖包。通常攻击者的目标都是下载量较高或者使用范围广泛的依赖。从侧面来看,说明国内大厂影响力正在提高。
3、Express.js · Node.js web application framework[^5]
标签:Expressjs,Node.js
Node.js 的老牌框架 Express 对其官网进行了重大改版。其官网 UI 变得更加现代和简洁,提供了完整的文档、API 参考和资源导航。
Express 是最早一批服务端框架,其地位如同前端的 jQuery。因其提供丰富的插件和容易上手的特性,通常是 Node.js 的入门框架。其他框架如 Koa、Nest 等也和它有着千丝万缕的关系。
标签:AI,Skill
这个 SKILL 基于 Andrej Karpathy 对大型语言模型常见编码陷阱的观察而设计。针对 AI 编码中的四个主要问题提出了解决方案:
| 原则 | 解决什么问题 |
|---|---|
| 编码前思考 | 错误假设、隐藏困惑、缺少权衡 |
| 简洁优先 | 过度复杂、臃肿抽象 |
| 精准修改 | 无关编辑、触碰不应碰的代码 |
| 目标驱动执行 | 通过测试优先、可验证的成功标准 |
偷偷吐个槽,我看到 multica 的第一反应是 Ave Mujia…… 
5、Node.js — Axios to WHATWG Fetch[^7]
标签:Axios,Node.js
Axios 又是一个地位上类似 jQuery 的库,由于其好用以及很早支持 Promise、Cancel 等特性被广泛使用。因此也成了此前某次攻击中的受害者。
Node.js 官方博客发布了一篇迁移指南,介绍如何通过 codemod 工具将 Axios 的常用 HTTP 请求方法自动转换为 WHATWG Fetch 标准写法。
迁移后的代码使用 fetch 替代 Axios 调用,并通过 .then(async (res) = Object.assign(res, { data: await res.json() })) 模式将响应体解析为 data 属性,以保持与 Axios 相似的返回值结构。需要注意的是,目前不支持 Axios 的拦截器、取消令牌以及通过 axios.create() 创建的实例配置等高级功能。
6、My domain got abused on Github Pages — Roland Meertens[^8]
标签:GitHub,Security
Roland Meertens 在文章中讲述了他的域名 immersivepoints.com 被滥用于 GitHub Pages 的经历。问题的根源在于 DNS 配置中设置了一条通配符记录 *.immersivepoints.com,指向了 GitHub Pages 服务。
因为 GitHub Pages 不验证你对该域名的所有权,因此任何你只需在仓库里创建一个 CNAME 文件,然后配置 Pages。GitHub 就会将你仓库的内容作为该域名的网站,从而滥用了这个子域名。
如果你有域名是指向 Github Pages 的,就需要检查 DNS 配置然后开启域名检查的设置防止被滥用。
7、Ephemeral Infrastructure: Why Short-Lived is a Good Thing[^9]
标签:Infrastructure,架构
文章探讨了短暂基础设施(Ephemeral Infrastructure)的设计理念。将整个系统分为有状态和无状态两种类型。针对有状态的部分如数据库、应该采用长期维护;而无状态的部分,如服务应该被设计为随时可替换的(如 K8S 的 Pod)。
这种可替换、可插拔的设计,可以避免配置漂移和累积的技术债务。当出现问题时,直接销毁并重建即可,而非进行复杂的现场调试。进而提升运维效率。
工具
1、lirantal/npq: safely install npm packages by auditing them pre-install stage[^3]
标签:NPM,Coding,Node.js,Security
这周也有两起 NPM 供应链投毒的攻击。不知道是 Node.js 的使用范围越来越广还是 AI 的越来越强,针对 NPM 的攻击也是越来越频繁了。因此软件的安全防护措施,也要越来越重视。
lirantal/npq 是一个 npm 包安全安装工具,其核心功能是在安装前对包进行审计,通过一系列检查器来识别潜在风险。除了检查新包年龄外,还有针对活跃维护者、下载量等问题进行检查。具通过多维度审计,在依赖安装前帮助识别可能存在的安全风险或维护异常。
参考文章:
- [1] 对话安克阳萌:让我们抽象一下,公司是最难的产品: https://www.latepost.com/news/dj_detail?id=3554
- [2] 国产CodingPlan“玩不起”,玩GPT5.5去了!难受啊! 最近国产的 CodingPlan 全面收拢,要么转 T - 掘金: https://juejin.cn/post/7631832575604129811
- [3] lirantal/npq: safely install npm packages by auditing them pre-install stage: https://github.com/lirantal/npq
- [4] Mini Shai-Hulud Strikes Again: 317 npm Packages Compromised: https://safedep.io/mini-shai-hulud-strikes-again-314-npm-packages-compromised/
- [5] Express.js · Node.js web application framework: https://expressjs.com/en/
- [6] multica-ai/andrej-karpathy-skills: A single CLAUDE.md file to improve Claude Code behavior, derived from Andrej Karpathy's observations on LLM coding pitfalls.: https://github.com/multica-ai/andrej-karpathy-skills
- [7] Node.js — Axios to WHATWG Fetch: https://nodejs.org/en/blog/migrations/axios-to-fetch
- [8] My domain got abused on Github Pages — Roland Meertens: https://meertens.dev/blog/github-enables-domain-abuse/
- [9] Ephemeral Infrastructure: Why Short-Lived is a Good Thing: https://lukasniessen.medium.com/ephemeral-infrastructure-why-short-lived-is-a-good-thing-2cf26afd75ef