fix(security): P0 审计修复 — 6项关键安全/编译问题

F1: kernel.rs multi-agent 编译错误 — 重排 spawn_agent 中 A2A 注册顺序，
    在 config 被 registry.register() 消费前使用
F2: saas-config.toml 从 git 追踪中移除 — 包含数据库密码已进入版本历史
F3: config.rs 硬编码开发密钥改用 #[cfg(debug_assertions)] 编译时门控 —
    dev fallback 密钥不再进入 release 构建
F4: 公共认证端点添加 IP 速率限制 (20 RPM) — 防止暴力破解
F5: SSE relay 路由分离出全局 15s TimeoutLayer — 避免长流式响应被截断
F6: Provider API 密钥入库前 AES-256-GCM 加密 — 明文存储修复

附带：完整审计报告 docs/superpowers/specs/2026-03-30-comprehensive-audit-report.md

crates/zclaw-saas/src/relay/handlers.rs

@@ -399,8 +399,12 @@ pub async fn add_provider_key(
         return Err(SaasError::InvalidInput("key_value 不能包含空白字符".into()));
     }
 
+    // Encrypt the API key before storing in database
+    let enc_key = state.config.read().await.totp_encryption_key()?;
+    let encrypted_value = crate::crypto::encrypt_value(&req.key_value, &enc_key)?;
+
     let key_id = super::key_pool::add_provider_key(
-        &state.db, &provider_id, &req.key_label, &req.key_value,
+        &state.db, &provider_id, &req.key_label, &encrypted_value,
         req.priority, req.max_rpm, req.max_tpm,
         req.quota_reset_interval.as_deref(),
     ).await?;