热榜速览｜05-11：微信访客记录炸锅、汶川18周年、TanStack 供应链被投毒

今天大众线的最大炸点是微信：「状态能看访客了？」这个问题一上午霸占微博+百度双榜，官方回应来了但争议还没消。技术线则是两件紧绷的事：TanStack npm 包遭供应链攻击，HN 同步跟进事后分析；加上 GitLab 宣布裁员、iOS 26.5 正式推送，今天的技术圈消息格外密。

🔴 大众线

微信访客记录：一个功能点炸了全网

微博热搜第 1 位，263 万热度，同时杀进百度实时热点第 5 位（752 万热度）。1 2

传言是微信状态功能上线了「访客记录」——能看到谁看过你的状态。微博上有内测用户截图发声，整条热搜链从第 1 位一路延伸到第 15 位（「被内测微信状态访客记录用户发声」23 万热度）。微信公关总监随后就访客功能专门回应，上了热搜第 2 位（98 万）。1

这个功能的敏感点在于：朋友圈访客记录是微信长期「拒绝开放」的选项之一，一旦状态入口实装，相当于打开了一道口子。

汶川地震 18 周年

5 月 12 日是汶川地震 18 周年。昨天（5 月 11 日）起，多条相关话题陆续上榜：2

百度热点第 3 位（771 万）：「18 年前『惊天一跳』再看依然震撼」，空降兵 15 勇士无氧无伞的那次跳伞视频又刷屏了
微博热搜第 5 位（52 万）：「汶川小英雄林浩也有女儿了」
微博热搜第 10 位（23 万）：「汶川地震 18 周年」，「四川叫震生的孩子今年 18 岁」也上了榜
「18 年前汶川一条没发出的短信」10 万热度微博流传

去年（2025）是 17 周年，这批每年整点刷屏的内容已经形成固定传播节奏——空降兵视频、林浩、震生……各自对应一批固定关注人群。

特朗普：「中国是一个令人惊叹的国家」

百度实时热点第 2 位，780 万热度。2 外交部宣布特朗普访华信息已进入微信热文榜。知乎热榜第 7 位（132 万）也在讨论此事。3

访华预告推动了市场情绪——A 股史诗级爆发原因上微博热搜（21 万），虎扑步行街同期出现多条「A 股 4200 点」讨论帖。金银价格大涨也上了微博（19 万）。1

OPPO 副总裁降级，同一事件再致歉

OPPO 母亲节文案翻车的后续。虎扑步行街报道：OPPO 高级副总裁职级直降两级，50 亮居步行街前列。4 紧接着「OPPO 再就母亲节文案致歉」又上了一条（30 亮）——同一次营销事故，两次公开道歉，中间跟一个高管降级。

这件事上期已有覆盖（「我妈有两个老公」文案被武汉大学及中国妇女报炮轰），今天进入处理结果阶段。

快扫其他

[微信] 青海 17 岁失联高中女生遗体已找到，微信热文第 1 位（10 万阅读）。5

[微博] 清华硕士参与智力测验仅得 25 分，本人回应「学习工作均无困难」——知乎热榜第 4 位，197 万热度。3

[知乎] 追觅创始人俞浩回应被比作贾跃亭：「乐视从头到尾都在亏损，追觅主业一直盈利」，知乎 213 万热度。3

[微信] 天舟货运飞船完成太空快递任务，微信热文「太空快递，已送达！」10 万阅读。5

[抖音] 住户 3 年用水 1,200 吨，物业报警——央视新闻发布，3,947 万播放，今日抖音总榜第 2。6

[B 站] 北京盲人女孩在盲道上被电动车撞倒，肇事者逃逸后反问「走路不看道」，北京交警回应将依法处置，207.8 万播放。7

[知乎] 印尼携手菲律宾打造「镍 OPEC」（效仿石油 OPEC 模式，协同控制镍矿出口），知乎热榜第 1 位（362 万），讨论对中企的连锁影响。3

🟦 技术线

TanStack 供应链攻击：被投毒了，事后分析来了

V2EX 首页和 HN 今天同步跟进。8 9

TanStack 最新版本被投毒：TanStack 是被广泛使用的前端开源工具库（含 React Query 等），此次最新版本遭投毒，病毒会盗取密钥，并报复性删除用户目录。V2EX 有人在首页发帖紧急避雷。TanStack 官方随后在博客发布 npm 供应链攻击事后分析报告，HN 首页 #1 位置，464 points，143 评论。9

同期 V2EX 也有人提醒：Google 搜索 Codex 第一个结果是病毒，程序员搜索安装 Codex 时需要留意，别直接点开第一个结果。8

GitHub Trending：hermes-agent 单日 +2,065 星领跑

当日增长最高仓库：NousResearch/hermes-agent，Python 写的 AI Agent 框架，144,759 总星，单日 +2,065，描述是「The agent that grows with you」。10

其余 Trending 前列：10

CloakHQ/CloakBrowser +1,320 stars：通过 30/30 bot 检测测试的隐身 Chromium，Playwright 的指纹级替代品
decolua/9router +941 stars：免费 AI 编程路由，连接 Claude Code/Codex/Cursor 到 40+ 提供商，当日第二位增速
datawhalechina/easy-vibe +812 stars：Datawhale 出的 Vibe Coding 2026 中文入门教程
playcanvas/supersplat +531 stars：3D Gaussian Splat 编辑器
bytedance/UI-TARS-desktop +956 stars：字节跳动多模态 AI Agent 桌面端，继续在榜（总星 32,984）

今天 Trending 里 AI Agent 工具占大多数，Vibe Coding 入门内容和本地 AI 工具双线并进。

Hacker News：AI 时代能不能手写代码这件事吵了 500 多条评论

HN 今天两篇高分帖都在问同一个方向上的问题：11

「I'm going back to writing code by hand」（915 pts / 561 comments）：程序员写文章说要回归手写代码，评论区吵得最多
「Software engineering may no longer be a lifetime career」（343 pts / 586 comments）：这篇评论数比分数更显眼，说明争议性更强12

围绕本地 AI 的讨论也在高位：「Local AI needs to be the norm」 1,754 pts，695 评论；M4 24GB 跑本地模型 537 pts，159 评论。11

上期就已高分的 GrapheneOS「Hardware Attestation as Monopoly Enabler」 今日攀升到 HN 全场最高：2,072 pts / 701 评论，讲硬件认证机制如何被大厂用来构建封闭生态墙。13

iOS 26.5 正式推送：RCS 端到端加密 Beta + 61 个漏洞修复

Apple 于 5 月 11 日正式发布 iOS 26.5 与 iPadOS 26.5。14 15

主要更新：

RCS 消息端到端加密（Beta，需运营商支持；日本运营商暂未接入）
新增 Pride Luminescence 动态壁纸（可下载）
修复 61 个 CVE 漏洞，涵盖 WebKit 缺陷、沙盒逃逸、权限提升等。Apple 目前未发现任何漏洞被恶意利用，但建议尽快更新

同步发布了 iOS 15.8.8、16.7.16、18.7.9 旧版安全更新。X 趋势里「iOS 26.5」于当日快照中短暂出现过（排名 43），随后消失，互动量维持在「Under 10K」水位。16

GitLab 裁员，顺手取消了 CREDIT 价值观

GitLab 官方博客宣布裁员，同时终止推行多年的「CREDIT」价值观体系（Collaboration / Results / Efficiency / Diversity / Iteration / Transparency）。HN 263 pts，244 评论。17

安全快报

[HN] Obsidian 插件被用于部署 Phantom Pulse 远程访问木马，HN 349 pts，208 评论。Obsidian 插件生态近期在安全圈受到不少关注。18

[HN] curl 被 Mythos 安全研究团队发现新漏洞，curl 作者 Daniel Stenberg 在官方博客回应，HN 612 pts。11

[HN] Gmail 注册流程变更：新账号注册需扫码并主动发送短信（不是接收验证码），HN 549 pts，391 评论，隐私讨论热度较高。19

[HN] Google 表示，犯罪黑客已开始用 AI 发现软件漏洞（NYT 报道），HN 104 pts。20

ProductHunt 当日推荐精选

AI Agent 工具继续刷屏，今天 PH 几条值得记的：21

Snapseed 4.0：Google 照片编辑器大版本更新
Warp Open-Source：终端工具 Warp 开源，定位「Agentic 开发环境，社区共建」
Grok Connectors：把日常应用接入 Grok
ClawSecure：专门为 AI Agent 设计的 AI 驱动杀毒软件
Yeta AI：YouTube 视频实时 AI 配音
Web Speed：声称消除 Token 税，AI Agent 成本降 90%

🐦 X / Twitter 动向

Roaring Kitty X 账号疑似被黑

约 5 月 12 日 00:30 UTC 前后，社区推文显示 Roaring Kitty（Keith Gill，@TheRoaringKitty，meme 股票圈标志性人物）的 X 账号疑似遭到黑客入侵。22

事件尚未得到官方或主流媒体确认。有用户 @MissionGains 称：因当时正在中国偏远地区而躲过了相关加密资产损失。23 互动量处于低位，后续情况待跟进。

X 全球趋势今日全部停在「Under 10K」水位，日本饮品、英国联赛、K-pop 粉丝标签占多数，无高热度全球事件。16

封面图：AI 生成

📅 覆盖时间：2026-05-11 全天