# API 安全扫描

执行 `scripts/run-zap-api-scan.sh` 会使用 `docs/openapi.yaml` 发起 API 扫描。默认目标为 `http://host.docker.internal:8080`，可通过 `BASE_URL` 覆盖。