GitHub 開源週報 2026-05-20:Skills 生態系成形、Bun 完成 Rust 重寫、YellowKey 揭露 BitLocker 零日
資料期間:2026-05-12 ~ 2026-05-20(Rolling 7 天) 來源:GitHub Trending weekly + monthly、GitHub Search API、HN Algolia
TL;DR:本週最大主題是 AI coding skills 生態系正式成形——mattpocock/skills 週增 2 萬星奪冠,obra/superpowers 第三,新 repo 榜也有三個 skills 相關 repo 同時現身。後端社群的大事是 Bun 完成 Zig 到 Rust 的全面重寫,主帖 HN 701 點 783 則留言,是近期最激烈的技術論戰之一。安全領域本週也不平靜:YellowKey 揭露 BitLocker bypass 漏洞(HN 86 點 20 則留言),Meta 的 PyRefly 被指靜默破壞競爭對手的 VS Code 插件(HN 52 點 25 則留言)。
📈 Fastest Growing — 本週星星增量 Top 15
來源:
github.com/trending?since=weekly🔁 = 同時出現在月度趨勢(持續熱門信號)
| # | 專案 | +Stars/週 | 總 Stars | 語言 | 建立 |
|---|---|---|---|---|---|
| #1 🔁 | mattpocock/skills | +20,361 | 94,343 | Shell | 2026-02-03 |
| #2 | tinyhumansai/openhuman | +15,349 | 21,031 | Rust | 2026-02-18 |
| #3 | obra/superpowers | +10,476 | 198,317 | Shell | 2025-10-09 |
| #4 🔁 | CloakHQ/CloakBrowser | +9,124 | 16,518 | Python | 2026-02-22 |
| #5 🔁 | rohitg00/agentmemory | +7,830 | 14,101 | TypeScript | 2026-02-25 |
| #6 | ruvnet/RuView | +7,217 | 60,807 | Rust | 2025-06-07 |
| #7 🔁 | anthropics/financial-services | +5,259 | 25,905 | Python | 2026-02-23 |
| #8 | yikart/AiToEarn | +4,851 | 15,504 | TypeScript | 2025-02-24 |
| #9 🔁 | Imbad0202/academic-research-skills | +4,402 | 14,051 | Python | 2026-02-26 |
| #10 | colbymchenry/codegraph | +2,690 | 6,508 | TypeScript | 2026-01-18 |
| #11 | millionco/react-doctor | +2,453 | 10,326 | TypeScript | 2026-02-13 |
| #12 | oven-sh/bun | +2,350 | 92,063 | Rust | 2021-04-14 |
| #13 | BigBodyCobain/Shadowbroker | +1,376 | 8,243 | Python | 2026-03-05 |
| #14 | apernet/hysteria | +1,254 | 21,356 | Go | 2020-04-21 |
| #15 | facebook/pyrefly | +481 | 6,280 | Rust | 2025-02-19 |
🆕 Top New Repos — 本週新誕生 Top 10
來源:GitHub Search API(
created:2026-05-12..2026-05-20,依總星星數排序) 注意:本榜已過濾明顯的垃圾/惡意 repo(盜版工具包、Keygen 軟體、無意義程式)
| # | 專案 | 總 Stars | 語言 | 建立日期 |
|---|---|---|---|---|
| #1 | Nightmare-Eclipse/YellowKey | 3,610 | — | 2026-05-12 |
| #2 | vercel-labs/zerolang | 3,109 | C | 2026-05-15 |
| #3 | yetone/native-feel-skill | 1,335 | — | 2026-05-14 |
| #4 | facebookresearch/vggt-omega | 1,204 | Python | 2026-05-14 |
| #5 | DenisSergeevitch/agents-best-practices | 853 | — | 2026-05-15 |
| #6 | gi-dellav/zerostack | 804 | Rust | 2026-05-12 |
| #7 | Kappaemme-git/codex-complexity-optimizer | 786 | Python | 2026-05-15 |
| #8 | DepthFirstDisclosures/Nginx-Rift | 732 | Python | 2026-05-12 |
| #9 | Doorman11991/smallcode | 710 | JavaScript | 2026-05-18 |
| #10 | simplifaisoul/osiris | 702 | TypeScript | 2026-05-12 |
本週焦點 — Fastest Growing Top 15
📈 #1 🔁 — mattpocock/skills|工程師的 Claude skills 精選包
Skills for Real Engineers. Straight from my .claude directory.
本週 +20,361 ★|總 ★94,343|Shell|MIT
Matt Pocock 是 TypeScript 社群的知名貢獻者(TypeScript.tv、Total TypeScript 作者),這個 repo 收錄他在自己 .claude 目錄裡實際使用的 skills,主打「給真正在做工程的人用的」——不是 demo,是他自己在跑的東西。
週增 2 萬星的背景是 Claude Code skills 生態系在五月集中爆發:社群從「會用 AI 工具」進化到「有意識地規範 AI agent 的行為」,mattpocock/skills 在這波浪潮中因為作者的知名度和 TypeScript 社群的高密度傳播,一路衝上週榜第一。同時出現在月度榜(🔁),代表不是一夜衝刺,是持續累積的熱度。
📈 #2 — tinyhumansai/openhuman|個人 AI 超級智能,私有、簡單、極度強大
Your Personal AI super intelligence. Private, Simple and extremely powerful.
本週 +15,349 ★|總 ★21,031|Rust|GPL-3.0
一個以 Rust 寫成的個人 AI 代理,主打本地隱私、不上雲。219 個 open issues 顯示社群高度活躍,有人在認真用也有人在踩坑。homepage 是 tinyhumans.ai/openhuman,有正式官網。
值得注意的是它採用 GPL-3.0,與多數 AI 工具選擇的 MIT/Apache-2.0 形成對比——意味著衍生作品也必須開源,這個授權選擇本身就是一個政治聲明。
📈 #3 — obra/superpowers|讓 AI 開發方法論真正落地的 skills 框架
An agentic skills framework & software development methodology that works.
本週 +10,476 ★|總 ★198,317|Shell|MIT
obra 是 Jesse Vincent,知名 Perl 開發者和 Keyboardio 鍵盤的創始人。superpowers 是一個 agentic skills 框架加上軟體開發方法論,總 stars 已接近 20 萬,在 skills 生態系裡屬於老字號。
本週週增 1 萬星,是本月初以來的第二波加速——上週 skills 話題被 multica-ai/andrej-karpathy-skills 帶熱,這週輪到 mattpocock/skills 和 superpowers 雙雙受益。HN 討論顯示社群關注點是「JDS Copilot skill suite」(8 點),雖然互動不高,但說明 skills 作為一個類別已有足夠可見度引發模仿。
📈 #4 🔁 — CloakHQ/CloakBrowser|能通過所有 bot 偵測測試的隱形 Chromium
Stealth Chromium that passes every bot detection test. Drop-in Playwright replacement with source-level fingerprint patches. 30/30 tests passed.
本週 +9,124 ★|總 ★16,518|Python|MIT
作為 Playwright 的 drop-in 替代品,CloakBrowser 在 source code 層面修改 Chromium fingerprint,宣稱 30/30 bot 偵測測試全過。同時出現在月度榜(🔁),說明自動化爬蟲和 AI agent 的「隱身需求」不是短暫熱度,是一個持續成長的市場。
這類工具處於灰色地帶:合法用途包括 web scraping 研究、AI agent browser 控制;潛在濫用包括繞過帳號限制、自動化詐欺。MIT 授權意味著任何人都可以直接使用,選擇的判斷在使用者。
📈 #5 🔁 — rohitg00/agentmemory|AI coding agent 的持久記憶,基於真實基準測試
#1 Persistent memory for AI coding agents based on real-world benchmarks
本週 +7,830 ★|總 ★14,101|TypeScript|Apache-2.0
AI agent 記憶管理是今年爆發的一個細分賽道,agentmemory 的定位是「基於真實世界基準測試的 #1 解決方案」——這個行銷說法值得存疑,但實際功能是支援 Claude Code、Codex、Cursor、Copilot 的持久化記憶,跨 session 保持上下文。HN 上的 Hermes-agentmemory 討論(6 點)提到「pull-model episodic memory with real deletes」,即記憶可以被真正刪除而非只是封存,解決 AI agent 「遺忘但實際上沒遺忘」的問題。Apache-2.0 授權對企業使用友善。
📈 #6 — ruvnet/RuView|用 WiFi 訊號偵測人體動作和生命徵象,無需攝影機
π RuView turns commodity WiFi signals into real-time spatial intelligence, vital sign monitoring, and presence detection — all without a single pixel of video.
本週 +7,217 ★|總 ★60,807|Rust|MIT
一個非常不一樣的 repo——它利用 WiFi 訊號的反射特性(CSI,Channel State Information),結合 DensePose 人體姿態估計,實現無攝影機的即時人體偵測和生命徵象監測(心跳、呼吸率)。技術基礎來自學術研究,ruvnet 把它包裝成可以接 ESP32 MCU 的開源方案。
隱私意涵值得認真思考:這個技術可以偵測家裡是否有人、人在哪個房間,完全不需要視覺感測器,現有的隱私保護措施(遮住攝影機貼紙、反偷拍偵測)對它完全無效。
📈 #7 🔁 — anthropics/financial-services|Anthropic 官方金融服務 AI 參考實作
本週 +5,259 ★|總 ★25,905|Python|Apache-2.0
Anthropic 官方的金融服務 AI 應用 repo,連續三週出現在月度趨勢榜(🔁),顯示金融業導入 Claude 的關注度維持高位。雖然 GitHub description 是空的,但從 25,905 總星數和 3,598 forks 可以看出它已是金融 AI 開發者的重要參考。HN 上的討論「Claude for Financial Services」(3 點)暫未引起大規模討論,但 forks 數量說明有相當多人在實際拿去改。
📈 #8 — yikart/AiToEarn|AI 自動發布到抖音、快手、小紅書
Let's use AI to Earn!
本週 +4,851 ★|總 ★15,504|TypeScript|MIT
一個 Electron + React 的桌面應用,核心功能是把 AI 生成的內容自動發布到中國主要短影音平台(抖音、快手、小紅書等)。2,528 forks、405 watchers,明顯有真實使用者在跑。
這個 repo 代表了「AI to Earn」工具的一個縮影:AI 降低創作門檻,自動化降低發布門檻,結合起來讓規模化內容農場成本大幅壓縮。對做內容的人是機會,對消費者是更多低品質內容。
📈 #9 🔁 — Imbad0202/academic-research-skills|學術研究 AI pipeline,從查文獻到定稿
Academic Research Skills for Claude Code: research → write → review → revise → finalize
本週 +4,402 ★|總 ★14,051|Python|同時上月榜
學術研究流程的 AI skills 套件,走 research → write → review → revise → finalize 完整 pipeline。這個 repo 在 HN 上拿到了本週 skills 類最高分:Academic Research Skills for Claude Code,82 點 25 則留言,留言討論核心是「AI 是否正在讓學術寫作變成 ghost-writing by default」,以及這類工具在研究誠信上的邊界。連上月榜說明學術社群的討論已超過短期熱度。
📈 #10 — colbymchenry/codegraph|預索引程式碼知識圖,少 token、少 tool calls
Pre-indexed code knowledge graph for Claude Code, Codex, Cursor, and OpenCode — fewer tokens, fewer tool calls, 100% local
本週 +2,690 ★|總 ★6,508|TypeScript|MIT
codegraph 解決的問題是 AI coding agent 在大型 codebase 上的效率問題:每次問問題都要重新索引上下文、耗費大量 token。它的做法是預先建一個靜態的程式碼知識圖(AST + 依賴關係),把 codebase 結構固定下來,讓 agent 直接查圖而非每次重新掃描。100% 本地意味著不需要雲端 API,適合在意程式碼隱私的企業使用者。
📈 #11 — millionco/react-doctor|你的 agent 寫爛了 React,這個 skill 來抓
Your agent writes bad React. This catches it
本週 +2,453 ★|總 ★10,326|TypeScript|MIT
Million.js 團隊出品的 React 程式碼品質審查 skill,針對 AI coding agent 容易產生的 React 反模式(不必要的 re-render、錯誤的 hook 使用、低效的狀態管理)提供自動偵測和修正建議。官網 react.doctor 顯示這是有商業意圖的工具——免費 skill 配合付費服務的組合,是近期 AI 開發工具常見的 PLG 策略。
📈 #12 — oven-sh/bun|Bun 完成 Zig 到 Rust 全面重寫
Incredibly fast JavaScript runtime, bundler, test runner, and package manager – all in one
本週 +2,350 ★|總 ★92,063|Rust
本週最大的後端社群事件。Bun 從最初以 Zig 寫成,在本週完成向 Rust 的全面遷移,PR 合入後引爆了 HN 歷史上最熱烈的技術討論之一:Rewrite Bun in Rust has been merged 拿到 701 點、783 則留言。
討論核心是語言選擇的工程取捨:Zig 的 comptime 和對 C 的互操作性 vs. Rust 更成熟的工具鏈和更大的貢獻者社群。一週前的 Zig to Rust porting guide 也有 723 點 554 則留言,可以看到這次重寫並非突然,是有大量工程師花了數月完成的有計劃遷移。
對使用者的實際影響:Rust 重寫後的 Bun 維護者社群將更大,功能迭代可能加速,但原本 Zig 帶來的某些底層效能優化細節需要重新評估。
📈 #13 — BigBodyCobain/Shadowbroker|開源 OSINT 情報平台,從私人飛機到衛星
Open-source intelligence for the global theater. Track everything from the corporate/private jets of the wealthy, and spy satellites, to seismic events in one unified interface.
本週 +1,376 ★|總 ★8,243|Python|AGPL-3.0
整合 60+ 開源情報資料來源的統一介面,可追蹤私人飛機(ElonJet 類)、間諜衛星位置、CCTV 攝影機、地震事件,還可以接 AI agent 做關聯分析。AGPL-3.0 授權意味著任何基於此 repo 的服務部署也必須開源。
這個工具代表了「公開情報民主化」的趨勢——過去需要專業機構才能做的 OSINT 工作,現在一個開發者在自己筆電上就可以跑。
📈 #14 — apernet/hysteria|QUIC 加速的抗審查代理
Hysteria is a powerful, lightning fast and censorship resistant proxy.
本週 +1,254 ★|總 ★21,356|Go|MIT
基於 QUIC 協議的代理工具,主打抗審查和低延遲。2020 年建立的老 repo,這週出現在趨勢榜通常代表有新版本、有媒體報導或某個地區的網路管制加劇。HN 5 點的討論點數偏低,說明這週的增長更多來自特定社群的口耳相傳而非技術圈的廣泛討論。
📈 #15 — facebook/pyrefly|Meta 的 Python 快速型別檢查器,上了 HN 但因爭議
A fast type checker and language server for Python
本週 +481 ★|總 ★6,280|Rust|MIT
本週 PyRefly 上 HN 兩次,但兩次的性質截然不同。第一次是標題直接的指控:Meta's Pyrefly sabotages competing Python extensions without telling you,52 點 25 則留言。留言核心爭議是:PyRefly 安裝時會自動停用 Pylance、Pylint 等競爭對手的 VS Code 插件,而沒有明確告知使用者。第二次是 Pyrefly 1.0,7 點。
技術上,PyRefly 和微軟的 Pylance(基於 Pyright)、Astral 的 ty 都在打 Python 型別檢查這個賽道,都以 Rust 寫成,主打比 mypy 快上一個數量級。爭議讓 PyRefly 這週反而多了曝光,但也讓社群對 Meta 是否在複製「大公司用免費開源工具排擠競爭對手」的老套路保持警惕。
本週焦點 — Top New Repos Top 10
🆕 #1 — Nightmare-Eclipse/YellowKey|BitLocker bypass 漏洞 PoC,HN 86 點
YellowKey Bitlocker Bypass Vulnerability
總 ★3,610|建立 2026-05-12|772 forks
本週新 repo 榜冠軍,也是安全社群本週最熱的話題之一。YellowKey 揭露了一個 BitLocker 加密的 bypass 方法,在 HN 主帖 YellowKey Bitlocker Bypass Vulnerability 拿到 86 點 20 則留言。
核心問題是 BitLocker 在某些配置下(例如直接連接 TPM 但無 PIN)的攻擊面,實體接觸場景尤其危險。772 forks 顯示安全研究人員和滲透測試師在認真研究這個 PoC。如果你的工作機用 BitLocker 加密,現在是回去確認有沒有開 TPM PIN 的好時機。
🆕 #2 — vercel-labs/zerolang|Vercel 的代理程式語言
The programming language for agents
總 ★3,109|建立 2026-05-15|C|Apache-2.0
Vercel 官方實驗室出品,定位是「專為 agent 設計的程式語言」,用 C 實作。五天就累積超過 3,000 stars,速度驚人。官網 zerolang.ai 顯示這是認真的產品,不是 demo。HN 討論剛發出,點數尚低(1 點),說明技術社群還在觀望——到底是真正解決了 agent orchestration 的語言層問題,還是行銷導向的概念 repo?值得追蹤後續。
🆕 #3 — yetone/native-feel-skill|跨平台桌面 app 的 native 質感 skill
An Agent Skill for designing cross-platform desktop apps that feel native — distilled from Raycast's 2.0 deep-dive and reverse engineering of Raycast Beta.app.
總 ★1,335|建立 2026-05-14|60 forks|MIT
yetone 拆解了 Raycast 2.0 的架構後,把八條架構原則、四層架構、WebKit/WebView2 survival guide、75 點發布 checklist 精煉成一個 agent skill。對在做跨平台桌面 app 的人來說,這個 skill 是難得把「native feel」這個通常只存在於設計師直覺的東西做成可執行 checklist 的嘗試。
🆕 #4 — facebookresearch/vggt-omega|CVPR 2026 最佳論文:視覺幾何估算突破
[CVPR 2026 Oral] VGGT Omega
總 ★1,204|建立 2026-05-14|Python|33 forks
Facebook AI Research 在 CVPR 2026 的 Oral 論文代碼,VGGT Omega 是 Visual Geometry Grounded Deep Structure from Motion 的進化版,主要改進是在多視角幾何估算(depth estimation、camera pose)上的精度和速度。對做 3D 重建、AR/VR、機器人視覺的開發者是直接可用的 SOTA 代碼。
🆕 #5 — DenisSergeevitch/agents-best-practices|跨 provider 的 agent skill 最佳實踐
Provider-neutral Agent Skill for Codex, Claude Code, and agentic harness design.
總 ★853|建立 2026-05-15|MIT
這是本週新榜裡第三個 skills 類 repo,和 mattpocock/skills、superpowers 一起說明「怎麼讓 AI agent 行為更可靠」已經成為獨立的細分賽道。provider-neutral 的定位代表它不綁定 Claude 或 OpenAI,對需要同時支援多個 AI provider 的團隊有實用價值。
🆕 #6 — gi-dellav/zerostack|用 Rust 寫的極簡 coding agent
Minimalistic coding agent written in Rust, optimized for memory footprint and performance
總 ★804|建立 2026-05-12|Rust|GPL-3.0
在 coding agent 工具琳瑯滿目的市場裡,zerostack 選擇了反方向:極小記憶體佔用、高效能,用 Rust 寫。這個定位適合在資源受限環境(CI/CD、邊緣計算)跑 agent 的場景,是對 Cursor/Copilot 類大型工具的補充而非替代。
🆕 #7 — Kappaemme-git/codex-complexity-optimizer|分析 codebase 複雜度的 Codex skill
Codex skill for safe codebase complexity analysis and performance optimization reports
總 ★786|建立 2026-05-15|Python|MIT
本週第四個 skills 類 repo,鎖定 codebase 複雜度分析和效能優化報告。「safe」在 description 裡出現,強調這個 skill 設計成只讀分析,不自動修改代碼,適合在生產 repo 上跑的場景。
🆕 #8 — DepthFirstDisclosures/Nginx-Rift|CVE-2026-42945 Nginx 漏洞利用
exploit for CVE-2026-42945
總 ★732|建立 2026-05-12|Python|129 forks
Nginx 漏洞的 PoC exploit,CVE 編號 2026-42945,建立後五天就有 732 stars 和 129 forks。如果你在跑 Nginx,立刻確認版本和 patch 狀態。這類漏洞 PoC repo 通常在 CVE 公開後幾天就出現,forks 數量說明漏洞嚴重性讓人重視。
🆕 #9 — Doorman11991/smallcode|4B 參數小模型也能跑的 coding agent
AI coding agent optimized for small LLMs. 87% benchmark with 4B-active model.
總 ★710|建立 2026-05-18|JavaScript|MIT
對想在本地跑 coding agent 但沒有高階 GPU 的使用者:smallcode 宣稱用 4B 參數的 active 模型能跑到 87% 基準分數。如果這個數字可信,它打開了在 MacBook 這類消費級硬體上跑 coding agent 的可能性,而不需要付雲端 API 費用或有 8B+ 的本地模型。
🆕 #10 — simplifaisoul/osiris|開源全球情報儀表板,Palantir 的替代方案
Open Source Global Intelligence Platform - Real-Time OSINT Dashboard - A Palantir Alternative
總 ★702|建立 2026-05-12|TypeScript
和本週週榜的 Shadowbroker 定位類似,osiris 以「Palantir 替代方案」為行銷主軸,是 TypeScript 實作的開源 OSINT 儀表板。官網 osirisai.live 顯示有產品化意圖。兩個類似 repo 同週出現,說明「民主化情報分析」這個方向正在引起開發者社群關注。
月度趨勢對照
本週週榜有五個 repo 同時出現在月度趨勢(🔁):
| Repo | 月度星增 | 持續熱門信號 |
|---|---|---|
| mattpocock/skills | +75,156 | Skills 是這個月整個 GitHub 最熱的類別 |
| CloakHQ/CloakBrowser | +13,346 | AI agent browser 自動化需求持續 |
| rohitg00/agentmemory | +10,333 | Agent 記憶管理需求確認 |
| anthropics/financial-services | +17,541 | 金融業 AI 應用關注持續高位 |
| Imbad0202/academic-research-skills | +7,957 | 學術 AI 工具長尾需求強勁 |
月度榜同時包含本週週榜沒有的:multica-ai/andrej-karpathy-skills(月增 79,827 ★),說明這個月的 skills 生態系爆發是 Karpathy 帶動的,mattpocock 和 superpowers 是跟隨這波熱度的受益者。
本週趨勢洞察
Skills 從個人技巧變成工程標準
五月以前,GitHub 上的 skills 類 repo 是零散的個人分享。五月以後,每個星期都有三到五個 skills repo 同時出現在趨勢榜,本週總計有週榜的 mattpocock/skills、superpowers、academic-research-skills、react-doctor,加上新榜的 native-feel-skill、agents-best-practices、codex-complexity-optimizer。開發者社群不再問「要不要用 AI 工具」,而是在問「怎麼讓 AI agent 的行為可預期、可維護、可版本控制」。這個轉變正在把 skills engineering 從個人習慣變成一個可能有標準、有工具鏈的工程學科。
Bun 的 Rust 重寫是 Zig 社群的警鐘
oven-sh/bun 完成 Rust 重寫(HN 701 點 783 則留言),配合同週的 Zig to Rust porting guide(HN 723 點 554 則留言),這兩個事件合在一起向 Zig 生態系發出了一個清晰的訊號:在現實世界的大型專案選型時,Rust 的工具鏈成熟度和貢獻者社群規模仍然是壓倒性的優勢。Zig 在系統程式設計圈仍然有信徒,但 Bun 的決定讓很多觀望者有了不選 Zig 的理由。
安全漏洞的「民主化揭露」帶來雙面效應
本週同時出現 YellowKey(BitLocker bypass,HN 86 點)和 DepthFirstDisclosures/Nginx-Rift(CVE-2026-42945)兩個公開漏洞 PoC。加上長期在榜的 Shadowbroker 和 osiris(OSINT 工具),說明「讓一般開發者也能做安全研究」的工具民主化趨勢正在加速。好的一面是安全知識更普及,供應商修補壓力更大;壞的一面是攻擊工具的取得門檻也同步降低,防禦端的反應時間正在壓縮。
這篇文章對你有幫助嗎?
