请勿在公开 Issue 中披露安全漏洞。请通过以下方式私下联系维护者：

• GitHub Security Advisories（推荐，仓库启用后可用）
• 或向仓库 Owner 发送私信说明复现步骤与影响范围

• 更换默认账号 admin / admin123
• 使用强随机 JWT_SECRET
• 勿将 DEEPSEEK_API_KEY 提交到版本库
• 生产环境启用 HTTPS，并限制 CORS 来源
• 定期审查数据源与智能体的角色授权范围