AI-Gateway 项目夜间扫描警报：已部署制品中发现新的 HIGH+ 级别安全漏洞

GitHub 的自动化安全扫描在已部署的制品中检测到新的高危漏洞，触发了紧急警报。此次夜间重新扫描工作流确认，在 theagenticguy/ai-gateway 仓库中，已投入使用的软件物料清单（SBOM）和容器镜像均存在被标记为 HIGH 或 CRITICAL 级别的安全缺陷。这表明，即使代码已通过初始审查并部署，其依赖项或构建产物中仍可能潜伏着新近被发现或引入的严重风险。

警报直接指向项目维护者，要求立即审查 GitHub 仓库安全选项卡中的详细发现，并对高危及以上级别的漏洞进行优先级排序和修复。工作流还提供了本地复现命令 `mise run security`，以便开发者在自己的环境中验证和定位问题。这一自动化流程的触发，凸显了在快速迭代的 AI 项目中，持续安全监控与依赖项管理的脆弱性链条。

对于依赖此类开源 AI 网关组件的下游系统而言，未及时修复的漏洞可能成为供应链攻击的入口。警报状态为“真实发现”，而非误报，增加了问题的紧迫性。项目团队目前面临的压力是，必须在潜在攻击者利用这些漏洞之前，完成从发现、分析到修补的完整闭环，否则可能危及整个应用栈的安全边界。