fix(deps): 修复可兼容升级的依赖安全告警（undici/vite/tar）

[huhamhire]

背景

处理 GitHub Dependabot 告警（security/dependabot）。

规则

只升级我们直接声明的依赖、或上游父依赖已允许的兼容（非破坏性）版本；传递依赖若上游未发布兼容修复，不用 overrides 强行改写，保留告警待上游更新（必要时 dismiss）。npm audit fix（非 --force）即此规则的工具化。

改动（仅 lockfile）

npm audit fix（非 --force）应用的兼容安全补丁：

包	升级	清除告警
undici（直接）	6.26.0 → 6.27.0	6.x 系（<=6.26.0）
undici（@electron/get 传递）	→ 7.28.0	7.x 系（<7.28.0，high）
vite	→ 7.3.5	high + moderate
tar	→ 7.5.16	moderate

注：本批最初尝试把直接 undici 合并升到 7.x，但 6.27.0 已清掉全部 undici 告警、无需引入跨大版本（Node 内置 fetch 仍是 undici v6）的 ProxyAgent dispatcher 顾虑，故回退保留 6.x 的既有代理实现。

暂不处理（无兼容上游修复，仅 major 父升级可解 → 按规则保留）

详见下方「剩余告警清单」。均为 dev / 构建期或沙箱渲染层的传递依赖，待上游发布兼容修复后再随父升级。

测试

lint / typecheck / test / build 四关通过。

🤖 Generated with Claude Code