diff --git a/.gitea/workflows/ci.yml b/.gitea/workflows/ci.yml
index ac64bbf..066e6f6 100644
--- a/.gitea/workflows/ci.yml
+++ b/.gitea/workflows/ci.yml
@@ -56,8 +56,12 @@ jobs:
           fetch-depth: 0
       - name: Install trufflehog
         run: |
+          # Версия ЗАПИНЕНА: 2026-06-02 latest-тег trufflehog (3.95.4) указывал
+          # на релиз без выложенного бинарника → install давал HTTP 404 и валил
+          # secret-scan у всех PR. Пин на стабильную версию убирает зависимость
+          # от свежести релизов upstream.
           curl -sSfL https://raw.githubusercontent.com/trufflesecurity/trufflehog/main/scripts/install.sh \
-            | sh -s -- -b /usr/local/bin
+            | sh -s -- -b /usr/local/bin v3.90.5
       - name: Run trufflehog
         run: |
           trufflehog git "file://$(pwd)" \