Merge pull request #620 from xerrors/copilot/fix-critical-high-cves

修复前端依赖高危漏洞：锁定 flatted / lodash-es 到安全版本

Author: xerrors

docs/develop-guides/roadmap.md

@@ -46,6 +46,7 @@
 - 调整部门删除语义：删除部门时不再要求用户数为 0，而是将部门下用户迁移到默认部门，同时清理部门级配置和部门 API Key，保证测试部门、撤换部门等场景可直接删除，并补充对应集成测试覆盖该链路
 - 重构 MCP 运行时配置加载模型：移除 `MCP_SERVERS` 作为运行正确性前提的设计，改为每次直接从数据库读取最新 MCP 配置，并用 `server_name:config_hash` 作为本地工具缓存 key；同时将内置 MCP 初始化职责收敛为仅同步数据库默认项，前端 MCP 选项改为直接使用实时资源列表，解决 `api`/`worker` 分进程下的配置不一致与缓存失效问题
 - 为知识库检索工具补充 `metadata.filepath` 注入：在 `query_kb` 统一出口基于会话可见知识库构建 `file_id -> /home/gem/kbs/...` 映射并回填检索结果，注入逻辑复用知识库只读后端命名规则；并将工具调用范围收敛为 Milvus（仅支持 Milvus chunks 列表且要求显式 `file_id`），不再兼容无显式 `file_id` 的推断注入，新增单测覆盖该约束
+- 修复前端依赖安全告警：通过 `pnpm.overrides` 将传递依赖 `flatted` 锁定到 `3.4.2`、`lodash-es` 锁定到 `4.18.1`，并同步更新 `pnpm-lock.yaml` 以消除 DriftGuard 报告的高危 CVE
 
 ---
 

web/package.json

@@ -47,5 +47,11 @@
     "prettier": "^3.8.1",
     "vite": "^7.3.1"
   },
+  "pnpm": {
+    "overrides": {
+      "flatted": "3.4.2",
+      "lodash-es": "4.18.1"
+    }
+  },
   "packageManager": "pnpm@10.11.0"
-}
+}