fix: 修复35个安全与功能缺陷，补全知识进化/数字孪生/行为采集模块

## 安全修复 (12项)
- Webhook接口添加全局Token认证，过滤敏感请求头
- 修复JWT Base64 padding公式，防止签名验证绕过
- 数据库密码/飞书Token从源码移除，改为环境变量
- 工作流引擎添加路径遍历防护 (_resolve_safe_path)
- eval()添加模板长度上限检查
- 审批API添加认证依赖
- 前端v-html增强XSS转义，console.log仅开发模式输出
- 500错误不再暴露内部异常详情

## Agent运行时修复 (7项)
- 删除_inject_knowledge_context中未定义db变量的finally块
- 工具执行添加try/except保护，异常不崩溃Agent
- LLM重试计入budget计数器
- self_review异常时passed=False
- max_iterations截断标记success=False
- 工具参数JSON解析失败时记录警告日志
- run()开始时重置_llm_invocations计数器

## 配置与基础设施
- DEBUG默认False，SQL_ECHO独立配置项
- init_db()补全13个缺失模型导入
- 新增WEBHOOK_AUTH_TOKEN/SQL_ECHO配置项
- 新增.env.example模板文件

## 前端修复 (12项)
- 登录改用URLSearchParams替代FormData
- 401拦截器通过Pinia store统一清理状态
- SSE流超时从60s延长至300s
- final/error事件时清除streamTimeout
- localStorage聊天记录添加24h TTL
- safeParseArgCount替代模板中裸JSON.parse
- fetchUser 401时同时清除user对象

## 新增模块
- 知识进化: knowledge_extractor/retriever/tasks
- 数字孪生: shadow_executor/comparison模型
- 行为采集: behavior_middleware/collector/fingerprint_engine
- 代码审查: code_review_agent/document_review_agent
- 反馈学习: feedback_learner
- 瓶颈检测/优化引擎/成本估算/需求估算
- 速率限制器 (rate_limiter)
- Alembic迁移 015-020

## 文档
- 商业化落地计划
- 8篇docs文档 (架构/API/部署/开发/贡献等)
- Docker Compose生产配置

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

deploy/locustfile.py

@@ -0,0 +1,48 @@
+"""Locust 性能压测脚本 — 天工智能体平台
+启动: locust -f deploy/locustfile.py --host=http://localhost:8037
+"""
+from locust import HttpUser, task, between
+import json
+
+
+class AIPlatformUser(HttpUser):
+    wait_time = between(1, 3)
+
+    def on_start(self):
+        """登录获取 token。"""
+        resp = self.client.post(
+            "/api/v1/auth/login",
+            headers={"Content-Type": "application/x-www-form-urlencoded"},
+            data={"username": "admin", "password": "123456"},
+        )
+        if resp.status_code == 200:
+            self.token = resp.json().get("access_token", "")
+        else:
+            self.token = ""
+
+    def _headers(self):
+        return {"Authorization": f"Bearer {self.token}"} if self.token else {}
+
+    @task(5)
+    def get_agents(self):
+        self.client.get("/api/v1/agents", headers=self._headers())
+
+    @task(3)
+    def agent_chat(self):
+        self.client.post(
+            "/api/v1/agent-chat/bare",
+            json={"message": "你好，请简单介绍一下自己"},
+            headers=self._headers(),
+        )
+
+    @task(2)
+    def get_executions(self):
+        self.client.get("/api/v1/executions?limit=10", headers=self._headers())
+
+    @task(2)
+    def health_check(self):
+        self.client.get("/health")
+
+    @task(1)
+    def get_workflows(self):
+        self.client.get("/api/v1/workflows?limit=20", headers=self._headers())