diff --git a/SECURITY_AUDIT_REPORT.md b/SECURITY_AUDIT_REPORT.md
new file mode 100644
index 00000000..fab645bd
--- /dev/null
+++ b/SECURITY_AUDIT_REPORT.md
@@ -0,0 +1,88 @@
+# 项目全面审计报告
+
+## 执行摘要
+
+| 审计类型 | 严重问题 | 中等问题 | 轻微问题 | 总计 |
+|----------|----------|----------|----------|------|
+| 安全审计 | 5 | 3 | 4 | 12 |
+| Bug查找 | 2 | 9 | 4 | 15 |
+| 代码质量 | 5 | 4 | 7 | 16 |
+| 性能分析 | 0 | 8 | 4 | 12 |
+| **总计** | **12** | **24** | **19** | **55** |
+
+---
+
+## 🔴 严重问题 (需立即修复)
+
+### 1. 命令注入漏洞 (CRITICAL)
+
+**位置**: server/routes/git.js 多处
+
+**危险代码示例**:
+```javascript
+await execAsync(`git commit -m "${message}"`)  // 第379行
+await execAsync(`git status --porcelain "${file}"`)  // 第205行
+```
+
+**修复建议**: 改用 spawnAsync + 参数数组
+
+---
+
+### 2. 硬编码 JWT 密钥 (CRITICAL)
+
+**位置**: server/middleware/auth.js:6
+
+```javascript
+const JWT_SECRET = process.env.JWT_SECRET ||
+  'claude-ui-dev-secret-change-in-production'
+```
+
+**修复建议**: 生产环境必须设置 JWT_SECRET 环境变量
+
+---
+
+### 3. JWT Token 永不过期 (CRITICAL)
+
+**位置**: server/middleware/auth.js:69-79
+
+**修复建议**: 添加 `{ expiresIn: '24h' }`
+
+---
+
+### 4. XSS 漏洞 (CRITICAL)
+
+**位置**: src/components/PRDEditor.jsx:492-504
+
+**问题**: Markdown 解析器未转义 HTML，用户输入可执行恶意脚本
+
+---
+
+### 5. 凭据明文存储 (CRITICAL)
+
+**位置**: server/database/db.js:196-267
+
+**问题**: API 密钥、GitHub Token 以明文存储
+
+---
+
+## 🟡 重大问题
+
+| 问题 | 位置 | 类型 |
+|------|------|------|
+| 巨型文件 (index.js 1930行) | server/ | 代码质量 |
+| 零测试覆盖 | src/, server/ | 测试 |
+| 路径遍历漏洞 | server/routes/commands.js:466-477 | 安全 |
+| 异步未 await | server/routes/agent.js:886 | Bug |
+| WebSocket JSON 解析无错误处理 | server/index.js:929-1040 | Bug |
+| Projects Watcher 启动失败无捕获 | server/index.js:1921-1922 | Bug |
+
+---
+
+## 🟢 建议改进
+
+- 添加数据库索引优化查询性能
+- 前端 WebSocket 消息添加节流
+- React 组件使用 React.memo
+- 大文件读取使用流式处理
+- 使用结构化日志替代 console.log
+- 移除代码中的 Emoji