AI-Gateway 项目夜间扫描警报：已部署制品中发现新的 HIGH+ 级别安全漏洞

GitHub 安全扫描工作流在已部署的制品中检测到新的 HIGH 或 CRITICAL 级别安全漏洞，触发了紧急警报。这一发现表明，即使代码已经完成构建和部署，其依赖项或容器镜像中仍可能存在未被及时发现的严重安全缺陷。警报明确指出，软件物料清单（SBOM）和容器镜像的重新扫描均返回了阳性结果，证实了漏洞的存在，而非误报。

此次事件涉及 theagenticguy 用户下的 ai-gateway 项目。系统在 2026 年 4 月 5 日的夜间例行扫描后，自动生成了包含具体工作流运行链接的警报。项目维护者被指示立即审查安全选项卡中的详细发现，对 HIGH 及以上级别的漏洞进行分级和修复，并可在本地运行 `mise run security` 命令以复现问题。这表明漏洞可能源于项目依赖链的更新或新公开的漏洞信息。

对于依赖快速迭代和云原生部署的 AI 与网关类项目而言，此类事件凸显了软件供应链安全的持续风险。已部署制品中的高危漏洞若被利用，可能导致服务中断、数据泄露或权限提升。警报流程虽然自动化，但将修复责任直接指向了开发团队，要求其手动介入。这起事件也提醒所有采用类似 CI/CD 和安全扫描流程的团队，安全左移和持续监控同样重要，对“已发布”制品的周期性重扫是发现滞后威胁的关键步骤。