如果你发现了安全漏洞，请不要公开提交 Issue。请通过以下方式私下报告：

If you find a security vulnerability, please do NOT open a public issue. Instead, report it privately.

• 发送邮件至项目维护者（见 GitHub Profile）
• 或使用 GitHub 的 安全公告功能

我们会在 48 小时内确认收到报告，并在 14 天内给出详细评估和修复计划。

We will acknowledge receipt within 48 hours and provide a detailed assessment and fix plan within 14 days.

1. 不要提交 API 密钥或敏感凭据到仓库
2. 使用 .env 文件管理本地配置
3. 所有 API 调用应当通过 HTTPS
4. 定期更新依赖包