起因是我的仓库收到一个pr请求： 

大概意思就是说他们成立了一个评估AI相关工具安全性的网站，希望我把他们的认证徽章加到README里面。 
然后PR里提交了一个他们自己服务器上的外链图片，因为这个小公司我没听过，感觉会有很大风险，我能想到的2个场景是： 

他们可以随时替换图片内容，做广告或者违法宣传
他们可以利用自己服务器上的访问日志，采集各库的访问者流量信息

感觉实在没啥必要添加这个东西，或者就算添加，也应该是用base64或者存成文件的方式，我看了一下很多项目都添加了： 
 [image] 
如果后面这个项目再像之前爆出来的供应链投毒一样，把图片换成什么奇怪的0day或反动宣传的内容……细思极恐