Deny local file secrets store when booting from mainnet project

[eanzhao]

问题

当前 IAevatarSecretStore（AevatarSecretsStore）将 secrets 写入本地文件 ~/.aevatar/secrets.json，且通过 AddAevatarConfig() 在所有宿主中统一注册。Mainnet 项目（Aevatar.Mainnet.Host.Api）也继承了这一行为，导致生产环境存在将 secrets 落地到本地文件的风险。

方案

不依赖运行时配置：只要入口是 mainnet 项目，就彻底切断本地文件 secrets store 的注册路径。

具体做法

1. 新建 EnvironmentSecretsStore（src/Aevatar.Configuration/）：实现 IAevatarSecretsStore，只从 IConfiguration（含 AEVATAR_ 环境变量）读取，Set/Remove 直接抛 InvalidOperationException
2. AddAevatarConfig() 拆分：提供一个 AddAevatarConfig(bool allowLocalFileStore = true) 重载，false 时注册 EnvironmentSecretsStore 替代 AevatarSecretsStore
3. AevatarConfigLoader 同步保护：allowLocalFileStore=false 时跳过 secrets.json 的加载
4. Mainnet 项目显式调用：Aevatar.Mainnet.Host.Api 的 bootstrap 链路中传入 allowLocalFileStore: false，其他项目（localnet、tools、demos）保持默认行为

关键约束

• mainnet 仍可通过 AEVATAR_ 环境变量注入 secrets（部署平台管理，不落地）
• Set/Remove 在 mainnet 必须炸在调用点，不允许静默忽略
• 不修改 IAevatarSecretsStore 接口本身

[eanzhao]

补几条实现边界和落地提示，不然这个 issue 很容易只改到表层，最后 mainnet 还是能碰到本地 secrets.json。

需要一起封住的入口

当前不止一条路径会接触到本地 secrets：

• src/Aevatar.Bootstrap/Hosting/WebApplicationBuilderExtensions.cs
AddAevatarDefaultHost() 里会先走 builder.Configuration.AddAevatarConfig()，再走 builder.Services.AddAevatarBootstrap(builder.Configuration)
• src/Aevatar.Bootstrap/ServiceCollectionExtensions.cs
AddAevatarBootstrap() 内部又会调用一次 services.AddAevatarConfig()
• src/workflow/extensions/Aevatar.Workflow.Extensions.Hosting/AevatarPlatformHostBuilderExtensions.cs
AddAevatarPlatform() 会继续装配 AddAevatarAIFeatures()
• src/Aevatar.Bootstrap.Extensions.AI/ServiceCollectionExtensions.cs
CreateSecretsStoreAccessor() 默认直接 new AevatarSecretsStore()，这条路径会绕过 DI

所以这次不能只改 Program.cs，也不能只改 IAevatarSecretsStore 的注册；AI provider 初始化这条“直接 new 本地文件 store”的旁路也必须一起堵住，否则 mainnet 仍然会读本地 secrets.json。

本 issue 需要明确的禁止范围

建议把“禁止什么”写死，避免实现时理解跑偏：

• mainnet 启动时，禁止读取 ~/.aevatar/secrets.json
• 也禁止读取 AEVATAR_SECRETS_PATH 指向的任意本地 secrets 文件
• mainnet 下禁止通过 IAevatarSecretsStore.Set/Remove 或任何 fallback 把 secrets 写回本地文件
• 本 issue 只针对 secrets 文件，不要顺手把 config.json / mcp.json / connectors.json 的现有加载能力一并关掉

EnvironmentSecretsStore 的契约要补清楚

这个实现不能只满足 Get(key)，还必须满足现有消费方的完整契约：

• GetApiKey() 要继续兼容现有几种 key 约定
  • LLMProviders:Providers:{name}:ApiKey
  • LLMProviders:{name}:ApiKey
  • {PROVIDER}_API_KEY
• GetDefaultProvider() 仍然要支持 LLMProviders:Default
• GetAll() 不能返回空壳；AddAevatarAIFeatures() 里的 ReadConfiguredProviders() 目前依赖 GetAll() 枚举 LLMProviders:Providers:* 来发现 provider 名称
• 大小写匹配最好保持和现有 AevatarSecretsStore 一样的大小写无关语义
• Set/Remove 必须 fail fast，直接抛 InvalidOperationException，不能静默忽略

换句话说，这个 store 本质上不是“只读一个 env var”，而是“只读 IConfiguration 上已经合并好的 secrets 视图”。

开关传递方式也要写清楚

目前 issue 里提了 AddAevatarConfig(bool allowLocalFileStore = true)，方向没问题，但要补一句：这个开关必须贯通到整条宿主装配链路，而不是只加一个局部重载。

至少要覆盖这几处：

• IConfigurationBuilder.AddAevatarConfig(...)
• IServiceCollection.AddAevatarConfig(...)
• AddAevatarBootstrap(...)
• AddAevatarDefaultHost(...)
• AI secrets accessor（不能继续默认 new AevatarSecretsStore()）

如果最后发现 bool 在多层装配里不好传，改成明确的 options 也可以；但最终语义要保持单一：mainnet 禁本地 secrets 文件，其他宿主保持现状。

验收建议补上

建议把验收条件写到 issue 里，方便 reviewer 对齐：

• mainnet 模式下，即使本地存在 secrets.json，也不会被加载
• 即使设置了 AEVATAR_SECRETS_PATH 指向本地文件，也不会被加载
• mainnet 容器里的 IAevatarSecretsStore 实际实现不再是 AevatarSecretsStore
• mainnet 的 AI provider 初始化不再直接 new AevatarSecretsStore()
• EnvironmentSecretsStore.Set/Remove 调用点会明确抛错
• 非 mainnet 宿主、tools、demos 的现有本地 secrets 行为保持不变

建议补的测试

• AevatarConfigLoader：allowLocalFileStore=false 时跳过 secrets.json
• AevatarConfigLoader：AEVATAR_SECRETS_PATH 指向文件时也仍然跳过
• EnvironmentSecretsStore：Get/GetApiKey/GetDefaultProvider/GetAll 行为覆盖
• EnvironmentSecretsStore：Set/Remove 抛 InvalidOperationException
• AddAevatarDefaultHost / AddAevatarBootstrap：mainnet 开关透传后注册的是只读 store
• AddAevatarAIFeatures：确认不会再绕过 DI 直接 new 本地文件 store

一个最好提前说清的兼容点

本 issue 的目标应该是“禁本地文件来源”，不是“禁环境变量来源”。

所以建议正文里顺手说明一下：

• AEVATAR_ 前缀的配置注入继续允许
• 如果希望继续保留 OPENAI_API_KEY / DEEPSEEK_API_KEY 这类直接环境变量 fallback，也请显式写出来，避免实现时不小心改出兼容性差异

另外，文档最好同步更新 src/Aevatar.Mainnet.Host.Api/README.md 和 src/Aevatar.Configuration/README.md，把 mainnet 不落地 secrets 这件事写明。