每月更新的 JavaScript 月刊，包含当月汇总的优秀文章清单及前端周边动态。 点击上方 "Watch" 获取 JavaScript 十大文章月刊更新的邮件提醒。如果觉得有帮助的话，欢迎点个 "Star" 支持哦。 关于出刊数据来源 2019年1月之前的月刊内容同步自 Mybridge AI，他们通过分享数 ...

这一警告来自Koi Security的Oren Yomtov，他在周一的博客中披露了在多个包管理器中发现的六个零日漏洞，这些漏洞可能允许黑客绕过去年11月Shai-Hulud攻击npm并破坏超过700个包后推荐的防护措施。

OpenClaw 这个小龙虾智能体实在是太火了。我知道很多朋友已经按捺不住了，特别想在自己的电脑上装起来亲自试一试。不过说实话，第一次接触 OpenClaw，还是很容易被各种环境配置和复杂步骤劝退。所以我打算写一组 OpenClaw ...

此模式用于 MCP 客户端集成，通过标准输入/输出通信。 Acemcp-Node 对 WSL (Windows Subsystem for Linux) 提供完整的路径支持，无需手动 ...

网络安全研究人员发现了三个恶意的npm软件包，这些软件包被设计用来传播一个此前未被记录的恶意软件NodeCordRAT。 这些软件包的名称如下所列，截至2025年11月已全部被下架。它们由一个名为"wenmoonx"的用户上传： bitcoin-main-lib（2,300次下载） bitcoin-lib-js（193次 ...

AI智能体的崛起让自动化变得更加智能，但安全始终是首要关切。沙盒的引入标志着LangChainJS在构建可靠AI系统上的重大进步。它不仅解决了技术上的难题，还为开发者提供了灵活的工具链，帮助我们从“不可预测”转向“高效生产”。

以色列研究员发现npm和yarn平台存在六个零日漏洞，攻击者可绕过去年11月Shai-Hulud蠕虫攻击后推荐的防御措施。这些名为PackageGate的漏洞能够绕过禁用生命周期脚本和锁文件完整性检查两项关键防护。目前pnpm、vlt和Bun平台已修复相关漏洞，但npm和yarn尚未处理。研究员建议JavaScript开发者转向已修复漏洞的平台，并保持包管理器及时更新。

微软近日分享了TypeScript 7（代号为Corsa项目）的最新进展，披露了对TypeScript编译器的一次根本性重构。该更新发布于2025年12月，详细介绍了团队将TypeScript编译器用Go语言重写的宏伟计划，他们承诺构建速度最高可提升10倍，并显著降低内存的占用。

这么多工具，根本尝试不过来，况且像 Clawdbot 这种需要自己部署服务器的 AI，着实很劝退想要尝试的电脑小白用户。Cowork 就更过分了，目前只开放给 200 美元/月的 Max 订阅用户。

其实从任务上，这玩意看着跟Claude Code有点像，不过Claude Code本身因为名字，所以大家更把它当作是编程Agent，但其实Claude Code本身已经偏通用Agent了。 因为这玩意是本地的运行的，权限极高，同时主动性强到离谱，所以会带来非常强的安全隐患，你也不想你随口一句话，他就给你发个社死的朋友圈，或者把你文件删了，又或者，把你把钱花完了，对吧。

我们很高兴地宣布 Rspress 2.0 的正式发布！ Rspress 是基于 Rsbuild 的静态站点生成器，专为开发者打造的文档站工具。自 2023 年正式发布以来，Rspress 1.x 累计迭代 144 个版本，共有 125 ...

Clawdbot 的走红呈现出典型的 口碑滞后爆发 特征。虽然其核心概念在 2025 年底已见雏形，但真正的全网爆红发生在 2026 年 1 月下旬，成为了一场 周末文化时刻（Weekend Cultural Moment）” 。