feat(secrets): fnox を tier 分離し tier1 を対話シェルに自動ロード

[k35o]

概要

fnox の秘密を 2段 tier に分け、「日常の API キーは自動ロードで何でも素で動く／GitHub App 秘密鍵などの機密は常駐させず守る」を両立する。codex の Missing SAKANA_API_KEY 問題の恒久対応でもある（ラッパー方式 PR #57 を置換）。

tier 設計

tier	置き場	例	アクセス
tier1	[secrets]	SAKANA_API_KEY 等 API キー	対話シェルに自動ロード / fnox exec --
tier2	[profiles.bot]	K35O_BOT_*(GitHub App 秘密鍵)	fnox exec -P bot -- のみ。常駐しない

将来: 新しい秘密は「常駐してよい→[secrets]／機密→profile」に振り分けるだけ（スケールする）。

変更

• dot_config/fnox/config.toml: K35O_BOT_* を [profiles.bot.secrets] へ移動。
• dot_config/zsh/aliases.zsh → .tmpl: profile=personal かつ CLAUDECODE 以外の対話シェルで eval "$(fnox export -f env)"（tier1 のみ／~50ms・keychain プロンプト無し）。
• dot_agents/skills/new-project/SKILL.md: bot 投入を fnox exec -P bot に。
• dot_claude/CLAUDE.md: tier 運用を記載。

気をつける点

• fnox export(default profile) は tier2 を除外、hook-env/fnox activate は除外できない（全部載る）ため export 方式を採用。
• mcp__fnox__exec は元々値が空（[mcp] secrets=[]）。bot は CLI fnox exec -P bot で。
• エージェント(CLAUDECODE)では auto-load せず従来どおり fnox exec。

テスト（実機）

対話シェル=SAKANA載る/bot載らない・エージェント=載らない・fnox exec -P bot=bot取得可(len 1674)・codex doctor の auth ✓。