AI 摘要：文章报道了 2025 年 9 月爆发的 Shai-Hulud 恶意软件攻击，被认为是史上最大规模、最危险的 NPM 供应链攻击，已波及 CrowdStrike 及数百个流行 JavaScript 包。攻击者通过在维护者的包中注入恶意脚本（bundle.js）进行秘密凭据窃取和持久化后门植入，利用自动化工作流在 CI/CD 环境中持续外泄密钥。文中详细给出已确认被攻击的包清单、潜在影响范围及防护建议，包括立即停更、扫描环境、凭据轮换与审计 GitHub 工作流。

1. 攻击背景与规模
• Shai-Hulud 是迄今为止最严重的 NPM 供应链攻击
• 影响范围涵盖高人气的 @ctrl/tinycolor、CrowdStrike 官方包及数百个开源组件
• 恶意代码可自动触发，扩大横向传播

2. 攻击技术与机制
• 注入 bundle.js 脚本，在安装包时执行
• 使用 TruffleHog 扫描本地文件和代码库中的密钥（npm、GitHub、AWS、GCP、Azure 等）
• 创建隐藏的 GitHub Actions 工作流文件（shai-hulud-workflow.yml），用于在 CI/CD 阶段外泄凭据
• 双重目标：密钥窃取 + 持久后门部署

3. 影响与风险评估
• 大量开发者环境（本地 + 云端）已可能泄露敏感凭据
• 攻击持续性强，即便删除恶意包后，持久化机制仍可能存活
• 企业级安全厂商 CrowdStrike 受影响，进一步放大危机

4. 应对建议与缓解措施
• 立即扫描所有终端与构建环境，确认是否安装受影响包
• 暂时冻结 npm 包的更新，避免进一步扩散
• 轮换全部相关凭据（GitHub、npm、AWS、GCP、Azure 等）
• 审计 GitHub 工作流，排查 shai-hulud-workflow.yml 等异常文件
• 对流程与自动化管道进行全面安全加固

AI 摘要：本文介绍了 CSS 最新属性 corner-shape 的多种应用方式，它可以与 border-radius 配合，突破传统圆角与直角的限制，实现斜切、箭头、提示框、手绘风格、squircle（方圆形）等复杂的 UI 效果。目前仅 Chrome 139+ 支持，文章通过丰富实例展示其潜在的设计与交互价值。

AI 摘要：本文深入探讨了 CSS 新增的 linear() 函数，它突破 cubic-bezier() 的局限，能通过多个参数点实现复杂的分段线性动画，具有极高的可控性。作者还介绍了工具生成 linear() 代码的方法、与其他缓动函数的对比，以及实际应用场景，总结 linear() 在动画设计中的价值和独特作用。

AI 摘要：本文介绍 GitHub 推出的 MCP Registry，旨在解决以往 MCP servers 分散、难以发现和管理的问题。通过集中托管与社区协作，开发者可以在一个统一平台上更快找到所需工具，与 GitHub Copilot、VS Code 等生态无缝集成。文章强调该平台对开放互操作标准的贡献，以及合作伙伴（如 Figma、Postman、HashiCorp、Dynatrace 等）所带来的典型应用场景，展示 MCP Registry 在推动 agentic workflows 与 AI 生态健康发展的重要性。

AI 摘要：作者在研究 WebKit 更新日志时发现 Apple 正在引入一个私有 CSS 属性 -apple-visual-effect，它可以让 Web 内容利用 Liquid Glass 效果。虽然该功能目前既不能在 Safari 上使用，也无法通过常规 WKWebView 使用，除非启用私有设置 useSystemAppearance，因此开发者不能直接用于 App Store 应用。但这一变化揭示：Apple 自己已经在内部使用该功能，说明 webview 在系统应用中的整合比用户意识到的更深入，印证了所谓 “The Toupée Theory of In-App Webviews” —— 好的 webview 被无感知地使用，坏的才被用户注意。

AI 摘要：Lynx 3.4 按计划完成双月更新，带来 HarmonyOS 与 Windows 环境支持，推出 Trace 与 Recorder 开发者工具，新增 <input> 与 <textarea> 核心组件，同时改进 <list> 回收策略、动画控制与可变字体支持。这些升级旨在提升开发灵活性、渲染性能及多端兼容性，为开发者带来更完善的跨平台体验。

AI 摘要：本期 React Status 报导了一个与 useEffect 使用不当导致 Cloudflare 仪表盘宕机的案例，提醒开发者谨慎处理副作用；同时探讨了控制 package.json 依赖膨胀的技巧；介绍了 AI 辅助的终端代码审查工具 CodeRabbit CLI；并整理了近期前端生态的更新，包括 React Canary 新特性、pnpm 安全机制、Expo 54 改进、TanStack 工具集更新，以及 JavaScript 社区内围绕 npm 供应链攻击、Safari 26.0 发布和 Bun 1.2.22 发布等动态。

AI 摘要：文章介绍了使用 SVG 动画 作为 GIF 动画 替代方案的优势。与 GIF 相比，SVG 动画文件体积更小、分辨率无损放大、与部分 CSS 媒体查询兼容，还可以直接嵌入 img 标签或作为背景图使用。但也存在局限：如不支持 prefers-reduced-motion、无法触发交互事件（hover/click）、限制 JavaScript 等。整体上，SVG 动画是 GIF 的现代替代，尤其适用于形状移动或变换类动画，性能和画质优势明显。

AI 摘要：本文梳理了 2025 年现代 CSS 的最新进展，包括动画到 auto、@function、if()、text-wrap、linear() easing、 shape()、增强的 attr()、reading-flow 等特性。这些新功能大多提升了样式抽象能力、响应式设计的灵活性和排版的可控性，同时展现了 Chrome 为主、Safari/Firefox 跟进的支持现状，并给出 Polyfill 和渐进增强的可行性建议。

1. 动画与尺寸控制
- Animate to Auto：首度支持从固定数值过渡到 `auto`、`min-content` 等关键字，解决了长久以来无法动画到内在高度的问题。
- field-sizing：表单元素可根据内容自动扩展，高度自适应不再依赖 JS。

2. HTML 与交互增强
- Popovers & Invokers：新增 `popover` 和 `invoker` 属性，原生支持弹出层及控制呼叫，提升可访问性与无 JS 支持的友好性。
- Custom Selects：允许开发者完全自定义 `<select>` 的 UI，不再局限于操作系统原生样式。

3. 函数与逻辑能力
- @function：允许开发者在 CSS 内自定义函数，提升逻辑复用与避免重复代码。
- if()：原生条件语法，类似 `switch`，用于条件性的样式应用。
- linear() easing：支持更复杂的动画缓动效果，可实现多点定义的动态曲线，而非仅限于 `cubic-bezier()`。
- shape()：改良版路径函数，用 CSS 单位定义 `clip-path`、`offset-path` 等，实现复杂图形与路径动画。
- random()（预览特性）：Safari 已支持，用于随机化样式值（实验性）。

4. 属性与排版优化
- text-wrap：新增 `balance`、`pretty`，提升文字换行的美观性与可读性，特别优化标题与段落排版。
- 增强的 attr()：可将 HTML 属性值解析为数字、颜色等数据类型，提升数据驱动的 CSS 表达能力。
- reading-flow：重新映射视觉顺序与键盘导航顺序，避免因布局重排导致的 Tab 键焦点错乱。

5. 值得关注的趋势
- Masonry 布局：提案逐步接近规范化，用于实现瀑布流布局。
- margin-trim：Safari 首发，期待跨浏览器可用。
- sibling-index() / sibling-count()：有助于顺序动画和灵活选择。
- View Transitions：Firefox 正在实现，进一步统一页面过渡体验。
- calc() 扩展：将支持单位间的乘除运算。

6. 经典与延续
- Container queries / container units：继承 `media queries` 的伟大进步。
- :has() 伪类：极大强化选择器能力。
- 滚动驱动动画 / Anchor Positioning / View Transition：现代 CSS 交互特性逐步进入主流支持。
- 额外视口单位（如 dvh） 已进入 baseline。