Mechanize2.4になって、

    agent.auth("username","password")

が、警告を出すようになった。複数のサイトを渡り歩くときに、意図しないサイトへも(401を返されると)ユーザIDとパスワードを送ってしまうというのが脆弱性として認識されたのでそれの改善と言うことらしい。
警告なので、動作はするが、脆弱性対策として下記のように修正する。

    agent.add_auth(URI("http://example.com"),"username","password")

これで、特定のURIへしかユーザIDとパスワードを送らなくなる。