diff --git a/apps/api/src/services/approval_db.py b/apps/api/src/services/approval_db.py
index 14ec07dd..1cdd4442 100644
--- a/apps/api/src/services/approval_db.py
+++ b/apps/api/src/services/approval_db.py
@@ -237,8 +237,22 @@ class ApprovalDBService:
         """
         建立帶指紋的授權請求 (戰略 B)
 
-        用於告警收斂：相同指紋的告警會被聚合
+        用於告警收斂：相同指紋的告警會被聚合。
+
+        ADR-073 補丁 2026-04-15 ogt + Claude Sonnet 4.6:
+          所有 webhook 路徑都未傳 expires_at，導致 DB 欄位為 NULL，
+          get_pending_approvals() 的自動過期邏輯 (WHERE expires_at < now)
+          永遠不觸發，殭屍 PENDING 記錄無限堆積。
+          修正：凡未傳 expires_at，自動注入 48h 預設值。
         """
+        DEFAULT_APPROVAL_TTL_HOURS = 48  # 給人類 48h 決定視窗
+
+        if not request.expires_at:
+            now = datetime.now(UTC)
+            request = request.model_copy(
+                update={"expires_at": now + timedelta(hours=DEFAULT_APPROVAL_TTL_HOURS)}
+            )
+
         risk_level = classify_risk(
             action=request.action,
             blast_radius=request.blast_radius,