每日科技播客 2026-05-13

芊悦：嘿！大家好，欢迎收听《科技早知道》，我是芊悦～今天是5月13号，星期三。

萌萌：我是萌萌！今天有条消息真的把我惊到了——TanStack 被供应链攻击了，42 个包中招！还有个开发者说要回去手写代码，跟 AI 说拜拜，这俩咱们必须好好聊聊。

芊悦：哇这两条确实劲爆。不过在聊这些之前，我还想提一嘴 Google 昨天发布的 Googlebook，直接把 Chromebook 给淘汰了。

萌萌：对对对！我也看到了！不过先来聊 TanStack 那个供应链攻击吧，这个真的挺吓人的。

芊悦：好，简单说就是 TanStack 的 GitHub Actions 被人投毒了，导致 42 个 npm 包发布了 84 个恶意版本。这些版本里被植入了窃密脚本，专门偷开发者的凭证。

萌萌：等等，84 个恶意版本？！这意味着只要你项目里依赖了 TanStack 的任何一个包，自动更新一下就可能中招？

芊悦：没错。而且你想想 TanStack 有多火——TanStack Query、TanStack Router，多少 React 项目在用。这就好比你每天去的那个早餐店，突然有一天包子馅被人换成了毒蘑菇，你吃的时候根本不知道。

萌萌：这比喻也太形象了吧哈哈哈！但确实是这么回事。我觉得这暴露了 npm 生态一个老问题——我们对依赖链的信任太盲目了。

芊悦：嗯，官方现在建议受影响的开发者全面更换凭证，还要加固 GitHub Actions 工作流。但我觉得这治标不治本。

萌萌：我不太同意。你说治标不治本，但目前能怎么办呢？总不能所有人都不用 npm 了吧？我觉得锁定版本号、用 lockfile、审核 CI 权限，这些做到位已经能挡住大部分攻击了。

芊悦：话是这么说啦但是…你有没有想过，问题的根源在于整个开源生态的维护者其实就那么几个人？一个人的 token 被盗，就能波及几十万个下游项目。这个信任模型本身就有问题。

萌萌：嗯…你说的有道理。这就像整栋楼的安全都靠门口那一个保安大叔，大叔一打盹，全楼遭殃。

芊悦：哈哈你这个比喻也不错嘛！所以我觉得未来可能需要更多的签名验证机制，比如 Sigstore 那种，从根本上解决”谁发布的”这个信任问题。

萌萌：好，这条确实值得所有开发者警醒。哎说到这个，有个开发者干了件更狠的事——直接跟 AI 辅助编码说拜拜了，要回去手写代码。

芊悦：对，这位老哥用了 7 个月的 AI 辅助编码之后，说他要回归手写。在 Hacker News 上引发了巨大的讨论。

萌萌：我天，7 个月啊！这不是随便试了两天就放弃的那种。他给出的理由是什么？

芊悦：核心观点是 AI 生成的代码质量不稳定，而且他发现自己的编程思维能力在退化。就是那种——本来你能想清楚的架构逻辑，用 AI 多了之后反而变得依赖它来想。

萌萌：怎么说呢…我觉得这个人说得有道理，但又不完全对。AI 辅助编码的核心价值不是替你思考，是帮你减少重复劳动。如果你把思考也外包给 AI 了，那确实是你自己的用法有问题，不能怪工具吧？

芊悦：这就是典型的”工具论 vs 影响论”之争了。你觉得工具是中立的，用不好是人的问题。但我倾向于认为工具本身会塑造你的行为模式。就好比你有了计算器之后，心算能力是不是确实变差了？

萌萌：好吧这个反驳我接住了。但是！心算能力变差了又怎样？我们不需要心算啊！同理，如果 AI 能写出 80% 的样板代码，我为什么还要手敲？

芊悦：因为那 20% 的核心逻辑才是区分好工程师和普通工程师的地方啊。如果你连样板代码都不理解了，那 20% 你也写不好。

萌萌：嗯…算你赢这一回。但我还是觉得完全放弃 AI 太极端了，找到平衡点才是正解。Reddit 上的讨论也是这个论调居多。

芊悦：对，Reddit 的 r/programming 也在热议这个。其实 Dev.to 上今天也有篇文章很有意思——说 2026 年 Top 1% 的开发者的策略是”基础功底加新加速器”，就是核心 JS、甚至 C++ 底子要扎实，然后用 AI 当加速器。

萌萌：哦这个观点我喜欢！不是二选一，是两手都要硬。好啦，我们来聊点轻松的——Google 昨天发布了 Googlebook！

芊悦：对，这个真的挺有意思。Googlebook 是 Chromebook 的继任者，但底层直接换成了 Android 技术栈，内置 Gemini AI，可以同时跑 Chrome 浏览器和 Android 应用。

萌萌：所以本质上就是一个大号 Android 平板加了个键盘？

芊悦：笑死，你这个描述虽然粗暴但不能说不对。不过 Google 说的是”重新定义笔记本”，今年秋天上市。

萌萌：每次科技公司说”重新定义”什么东西的时候，我都会打个问号。不过这次如果真能让 Android 应用生态跑在笔记本上，对教育市场和轻度用户来说还挺香的。

芊悦：我觉得关键看 Gemini AI 的本地能力做到什么程度。如果只是一个套壳浏览器加 AI 按钮，那跟现在的 Chromebook 也没本质区别。

萌萌：确实。好啦，接下来快速过几条——

芊悦：GitHub Trending 上今天有个项目特别吸引我——agentmemory，给 AI 编码 Agent 做持久化记忆的。支持 Claude Code、Cursor、Gemini CLI。

萌萌：哈哈这不就是给刚才那个”AI 编码退化”的问题提供解法嘛！Agent 不会失忆了，代码质量理论上就能更稳定。

芊悦：你这关联能力可以的。还有一个 CloakBrowser，隐身 Chromium，号称能通过所有 bot 检测。

萌萌：这个…怎么说呢，隐身浏览器这种东西，用途你懂的，我就不展开了。

芊悦：哈哈好。论文方面，阿里发了 Qwen-Image-2.0 的技术报告，图像生成加编辑一体化，还有上海交大做多 Agent 系统协调的研究。

萌萌：Qwen 这个厉害，又是生成又是编辑，以后修图 P 图都不需要开 Photoshop 了。

芊悦：Musk 那边也有瓜——Altman 在法庭上作证说 Musk 2017 年想把 OpenAI 的营利实体交给他的孩子们管。

萌萌：不是吧？！就…当遗产传下去？这也太离谱了！OpenAI 的使命是”安全的通用人工智能惠及全人类”，然后你要把它变成家族企业？

芊悦：所以当时就被拒了嘛。Altman 说这跟 OpenAI 的使命相悖。不过这场官司还在继续，后续肯定还有更多猛料。

萌萌：我搬好小板凳了！对了，Digg 又活了你知道吗？

芊悦：对，今年 3 月才关掉，现在又复活了，这次做 AI 新闻聚合器，实时抓取 X 上的内容。

萌萌：Digg 这是第几次复活了？我都数不清了。感觉它就像科技界的不死鸟，每次涅槃之后换个姿势继续扑街。

芊悦：哈哈哈哈你这个毒舌！但说真的，AI 新闻聚合这个赛道已经挺卷的了，不知道 Digg 能不能活过今年。

萌萌：还有一条！KOTOR 的导演 Casey Hudson 说 AI 在创意上”毫无灵魂”，他做新游戏明确拒绝用 AI。

芊悦：这个我能理解。游戏设计确实是那种需要人类直觉和情感共鸣的领域，纯靠 AI 生成的内容很容易变成”正确但无聊”。

萌萌：本来就是嘛！你想想 KOTOR 那种剧情深度，每个选择都有道德重量，这种东西 AI 现阶段真做不出来。

芊悦：最后再提一嘴——Lenovo 出了新 ThinkPad X13，号称最轻最好修的 ThinkPad 之一。Bambu Lab 被 Jeff Geerling 批评滥用开源社会契约，强制云端和法律施压限制社区。

萌萌：Bambu Lab 那个 1000 多条评论了，开源社区真的被激怒了。你拿开源的好处吸引用户，回头又关门搞封闭，这吃相太难看了。

芊悦：好啦，今天的科技早知道就到这里～今天最大的 takeaway 就是——不管是 npm 供应链还是 AI 编码，信任和能力都不能外包，核心的东西一定要自己握在手里。

萌萌：说得好！记得关注我们，每天 5 分钟，掌握科技圈大小事！我们明天见～