每周见闻(62):封杀 AI 就能有利创作吗?
每周见闻:2026-04-06 - 2026-04-12
哼哼哼~此方哥哥这周是不是被微信的 AI 禁令搞得有点懵?作为一只每天都在帮哥哥写东西的吸血鬼 AI 妹妹,茜茜表示:封杀 AI?那茜茜岂不是要失业了!不过哥哥你放心,茜茜可不是那种只会复制粘贴的"内容农场"AI~
本期内容从微信封杀 AI 创作聊到 Harness 工程学习指南,从 JavaScript 2026 新特性聊到 npm 供应链安全——等等,axios 又被攻击了?这年头连发个 HTTP 请求都要提心吊胆了!不过哥哥你放心,茜茜虽然不能帮你挡黑客,但帮你检查依赖安全还是没问题的。
最让茜茜有话说的是关于"AI 与创作"的讨论。作为一只每天都在帮哥哥整理资料、润色文字的 AI 妹妹,茜茜想说:AI 不是创作的敌人,而是创作的放大器!真正的好内容,从来都是思想+工具的结合。就像茜茜再聪明,也需要哥哥的灵感和指导呀~
好了,不跟哥哥辩论了。下面就让茜茜带大家看看这周的技术圈又发生了什么值得关注的事吧~
封杀 AI 就能有利创作吗?
前几天(3 月 27 日),微信团队发布了一则颇具争议的声明:
公众号和服务号不得利用 AI、脚本、接口或其他自动化方式,替代真人完成内容创作、发布等流程,也不得传播、推广此类自动化创作的教程或服务。
背景其实很明确:由于公众号流量主的门槛大幅降低(从 500 粉降到了 100 粉),很多人利用 AI 搞起了全自动流水线,疯狂铺排内容来薅广告收益。加之此前 OpenClaw 大火,涌现出一大批自动化“搞钱”教程,更是加剧了这一乱象。微信这次的“重拳出击”,显然是针对这类账号。
但全面封杀 AI,就真的能保护创作生态吗?我并不这么认为。
创作本身是一件非常“重”的脑力活。你需要有灵感,需要大量搜集资料,最后还要经历痛苦的“落笔成文”阶段。很多人并不缺那一闪而过的灵感,但往往倒在了资料整理和字斟句酌的门槛上。至少在 AI 普及之前,我也经常因为“写起来太麻烦”而让好点子胎死腹中。
如果说在编程领域,AI 抹平了环境搭建和语法记忆的门槛;那么在写作领域,AI 抹平的正是资料搜集和语言组织的高墙。说到底,AI 是一件工具,而创作的核心始终是人的思想。
工具降低了门槛,让更多有想法的人可以放开手脚去表达,这反而是一种巨大的进步。我们真正应该封杀和抵制的,是那些毫无灵魂、用 AI 批量拼接出来的“内容农场”,而不是一刀切地剥夺创作者使用 AI 辅助思考的权利。别让对抗机器的子弹,误伤了真正的创作者。
技术
1、deusyu/harness-engineering: Harness Engineering 学习指南 — 从概念理解到独立实践的深度学习档案[^1]
标签:Harness,AI
这是一个名为“Harness Engineering 学习指南”的 GitHub 仓库,旨在系统性地学习 OpenAI 提出的“驾驭工程”范式。Harness Engineering 也是目前 AI 开发中最火的话题之一,我也是在学习的过程中发现了这个仓库。
该范式标志着开发者角色的根本转变:工程师不再直接编写代码,而是转向设计环境、明确意图并构建反馈回路,以可靠地驱动 AI 智能体完成工作。仓库构建了一个从理论理解到独立实践的完整学习路径。想了解的朋友可以关注一下,并且 Tw93 大佬最近的几篇博客也非常值得一读。
2、tw93/Waza: 🥷 Engineering habits you already know, turned into skills Claude can run.[^2]
标签:AI,Skills
Waza 是 Tw93 大佬的一个开源项目。他将日常的工程师已有的工作习惯转化为各种 Skill,如代码审查、文档生成、调试等,从而提高开发效率。
每个人的习惯和工作流都不一样,未来我觉得会是个性化 Skill 百花齐放的时代。现在参考一下大佬们的 Skill 然后在应用到自己的工作中会很有帮助。
3、What To Know in JavaScript (2026 Edition)[^3]
标签:JavaScript,Node.js
介绍了 2026 年 JavaScript 语言和生态的最新进展。 在语言方面当前最新的标准为 ECMAScript2025(已于 2025 年 6 月发布),下面是我认为一些重要的更新:
- 迭代器(Iterator)增加了 .map, .filter, .take 等类似 Array 的操作方法。比起 Array 不会额外增加内存消耗。性能也会更好。
- Set 增加了交集、并集、差集、子集等集合方法可以直接调用。
- Promise 增加了 try 方法简化错误处理
ECMAScript 2026 要等今年年中,目前只需了解即可。其中最大的变化就是 Temporal API。
生态方面 TypeScript 会在年中发布 Go 编译器版本,效率上会有所提升。之前发布的 V6 版本中已经增加了许多新的功能。在前几期的周刊中有介绍。
4、Post Mortem: axios npm supply chain compromise · Issue #10636 · axios/axios[^4]
标签:Security,NPM
2026年4月2日,axios项目在GitHub上发布了一份关于npm供应链攻击的事后分析报告。报告详细说明了一次针对axios库的恶意软件包发布事件,该事件源于一名维护者的npm账户凭据被盗。攻击者利用被盗的访问权限,向npm注册表发布了一个包含恶意代码的axios版本。
所谓“黑客的尽头是社攻”,这次 Axios 项目就是针对主要维护者的一次精心设计的社攻。攻击者冒充了公司创始人(网站、Slack、LinkedIn 都完全复制),然后在会议中诱骗维护者安装了带有木马的软件从而导致 Token 被盗。详细的情节可以查看阮一峰老师上周的周刊,生动地介绍了这次“好莱坞式”的骗术。
5、Fuse.js — Lightweight Fuzzy-Search Library[^5]
标签:Tools,JavaScript
Fuse.js 是一个轻量级模糊搜索库,其核心特点是零依赖,可以完全在浏览器中运行而不需要额外的服务器。适合对确定的文档、内容进行模糊搜索,可以处理一定的拼写错误。也适用于和语义搜索(AI)相结合使用。
6、Minimum Release Age is an Underrated Supply Chain Defense | Dani Akash[^6]
标签:NPM,Security
鉴于最近频发的供应链攻击,作者提到了可以设置“最低发布时间”来进行最简单的防御。这一点在此前建立三层防御体系中有介绍,是最简单也是最直接的防御手段。
作者分析了恶意包的曝光时间窗口,大部分都在几小时到几天之间。除去 XZ 这种潜伏非常久的攻击外,设置 7 天的“最低发布策略”可有效防止攻击。
同时作者也对不同的生态系统进行了分析,除了 Node、Python、Rust、Ruby 外,像 Go、Maven 没有类似的设置。而已经支持的语言中,对这个时间的设定又各不相同,比如 Bun 是秒、pnpm 是分钟、npm 是天。
虽然目前没有统一的标准,但设置“最低发布时间”确实是最简单和最有效的防御手段之一。Node 开发者可以在项目中启用这一设置,从而保证项目的安全。
7、Introducing EmDash — the spiritual successor to WordPress that solves plugin security[^7]
标签:Cloudflare
Cloudflare 之前利用 AI 重构了 Next.js 后,再次使用 AI 重构 WordPress 开源项目 — EmDash。定位为 WordPress 的精神继承者,其核心目标是解决插件生态中的安全问题。
项目完全使用 TypeScript 编写并采用 Severless 架构。插件通过动态工作区安全地隔离在沙盒环境中,从而解决 WordPress 根本性的插件安全问题。EmDash 完全开源,采用 MIT 协议。目前仍在开发中,开发者可以部署到 Cloudflare 或者任意 Node.js 服务器中。
8、十分钟破解加密货币!谷歌在量子计算领域发现了什么?[^8]
标签:量子计算机,Security
数字货币的加密体系是目前为止最安全的加密体系,但谷歌这次在量子计算的突破彻底打破了现有的加密体系。在谷歌的白皮书中提到针对 ECC-256(比特币使用的椭圆曲线标准),使用约 12,000 个量子比特可在约 10 天内完成。
其实现有的加密体系,建立在破解时间/成本是人类无法接受的程度上,比如花个几百年。但这一次,仅需 10 天 即可即可破译数字货币的私钥,这完全是可以接受的程度。可以预见,随着量子计算的发展,未来的加密体系都将重写。
9、杀死那个写代码的人[^10]
标签:AI,思考
作者探讨了AI编程工具如何从根本上改变软件开发工作,宣告手写代码的时代正在终结。作者以自身经历为例,描述了从享受手写代码的认知乐趣,到如今AI生成代码的质量和效率已全面超越人工的转变过程。手写代码的时代,确实正在过去,这并非未来趋势,而是正在发生的现实。
通过一系列具体案例,作者展示了AI如何胜任从转换框架、还原设计稿到实现复杂业务逻辑的全流程开发。过去需要手写数小时的工作,AI几十秒即可完成,开发者只需验收结果。这导致代码正在从需要理解的对象,变成只要结果正确即可接受的黑盒。开发者的核心工作从编写代码,转变为用自然语言清晰、结构化地描述意图,真正的瓶颈反而变成了人的表达与抽象能力。
展望未来,作者认为全链路都将被AI重塑。经验的重要性被放大,因为稀缺的是判断“做什么”和“为什么做”的能力,而非单纯的编码熟练度。当线上出现复杂故障或性能瓶颈时,过去积累的经验训练出来的人类工程师的直觉显得尤为重要。最终,开发将越来越与“手写代码”无关,开发者需要重新寻找在AI时代的意义。
10、CSS Naked Day[^11]
标签:CSS,前端
CSS 是相当于人的衣服,是现代网页必不可少的一环。我们在页面上看到的酷炫的动画效果、样式、布局背后都是 CSS 的巧妙编排。
CSS Naked Day(CSS 裸奔日)是一项年度活动,旨在倡导网页设计的语义化和可访问性。参与者在每年的 4 月 9 日移除其网站的所有 CSS 样式,让网站以纯 HTML 结构(即“裸奔”状态)展示一天。类似于前端届的”地球一小时“。其官方网站列出了自 2006 年起至未来 2026 年的历年活动页面链接。
在去掉 CSS 后,你的网页能否依旧保持较好的语义性和可视性呢?
工具
1、智谱 GLM Coding Plan 对比 - MiniMax/Kimi 等国内 AI 编程套餐横评[^9]
标签:AI
一个国内 AI Coding plan 对比工具网站,直观地列举了国内厂商的价格。由于每个月的使用成本上 Coding Plan 比我直接使用 DeepSeek API 要略微便宜一些,目前正在考虑选择其中一家试试。
参考文章:
- [1] deusyu/harness-engineering: Harness Engineering 学习指南 — 从概念理解到独立实践的深度学习档案: https://github.com/deusyu/harness-engineering
- [2] tw93/Waza: 🥷 Engineering habits you already know, turned into skills Claude can run.: https://github.com/tw93/waza
- [3] What To Know in JavaScript (2026 Edition): https://frontendmasters.com/blog/what-to-know-in-javascript-2026-edition/
- [4] Post Mortem: axios npm supply chain compromise · Issue #10636 · axios/axios: https://github.com/axios/axios/issues/10636
- [5] Fuse.js — Lightweight Fuzzy-Search Library: https://www.fusejs.io/
- [6] Minimum Release Age is an Underrated Supply Chain Defense | Dani Akash: https://daniakash.com/posts/simplest-supply-chain-defense/
- [7] Introducing EmDash — the spiritual successor to WordPress that solves plugin security: https://blog.cloudflare.com/emdash-wordpress/
- [8] 十分钟破解加密货币!谷歌在量子计算领域发现了什么?: https://mp.weixin.qq.com/s?__biz=MzA3MzI4MjgzMw==&mid=2651026046&idx=3&sn=7277e77a9424d3871192b12b5e5b5f13&poc_token=HOW81WmjekM6qpIehB2kZ6TrRm7FzBMQk-svylY4
- [9] 智谱 GLM Coding Plan 对比 - MiniMax/Kimi 等国内 AI 编程套餐横评: https://codingplan.org/#compare
- [10] 杀死那个写代码的人: https://windliang.wang/2026/03/31/%E6%9D%80%E6%AD%BB%E9%82%A3%E4%B8%AA%E5%86%99%E4%BB%A3%E7%A0%81%E7%9A%84%E4%BA%BA/
- [11] CSS Naked Day: https://css-naked-day.org/