fix(安全): 修复HTML导出中的XSS漏洞并清理调试日志

refactor(日志): 替换console.log为tracing日志系统
style(代码): 移除未使用的代码和依赖项

feat(测试): 添加端到端测试文档和CI工作流
docs(变更日志): 更新CHANGELOG.md记录0.1.0版本变更

perf(构建): 更新依赖版本并优化CI流程

CHANGELOG.md

@@ -0,0 +1,65 @@
+# Changelog
+
+All notable changes to ZCLAW will be documented in this file.
+
+The format is based on [Keep a Changelog](https://keepachangelog.com/en/1.0.0/),
+and this project adheres to [Semantic Versioning](https://semver.org/spec/v2.0.0.html).
+
+## [Unreleased]
+
+## [0.1.0] - 2026-03-26
+
+### Added
+
+#### 核心功能
+- 多模型 AI 对话，支持流式响应（Anthropic、OpenAI 兼容）
+- Agent 分身管理（创建、配置、切换）
+- Hands 自主能力（Browser、Collector、Researcher、Predictor、Lead、Clip、Twitter、Whiteboard、Slideshow、Speech、Quiz）
+- 可视化工作流编辑器（React Flow）
+- 技能系统（SKILL.md 定义）
+- Agent Growth 记忆系统（语义提取、检索、注入）
+- Pipeline 执行引擎（条件分支、并行执行）
+- MCP 协议支持
+- A2A 进程内通信
+- OS Keyring 安全存储
+- 加密聊天存储
+- 离线消息队列
+- 浏览器自动化
+
+#### 安全
+- Content Security Policy 启用
+- Web fetch SSRF 防护
+- 路径验证（default-deny 策略）
+- Shell 命令白名单和危险命令黑名单
+- API Key 通过 secrecy crate 保护
+
+#### 基础设施
+- GitHub Actions CI 流水线（lint、test、build）
+- GitHub Actions Release 流水线（tag 触发、NSIS 安装包）
+- Workspace 统一版本管理
+
+### Removed
+- Valtio/XState 双轨状态管理层（未完成的迁移）
+- Stub Channel 适配器（Telegram、Discord、Slack）
+- 未使用的 Store（meshStore、personaStore）
+- 不完整的 ActiveLearningPanel 和 skillMarketStore
+- 调试日志清理（~310 处 console/println 语句）
+
+---
+
+## 版本说明
+
+### 版本号格式
+
+- **主版本号**: 重大架构变更或不兼容的 API 修改
+- **次版本号**: 向后兼容的功能新增
+- **修订号**: 向后兼容的问题修复
+
+### 变更类型
+
+- `Added`: 新增功能
+- `Changed`: 功能变更
+- `Deprecated`: 即将废弃的功能
+- `Removed`: 已移除的功能
+- `Fixed`: 问题修复
+- `Security`: 安全相关修复