B-H2: SHA-256 verify per-file Rox Design runtime (защита от подмены)

## Что это При старте Rox Design runtime ROX вычисляет SHA-256 каждого файла и сверяет с manifest'ом. Mismatch -> refuse start + audit emit. Защита `asar:false` files от подмены через файловую систему. ## Зачем asar:false означает, что любой process с FS access может подменить runtime. SHA-verify закрывает это окно: подмена сразу видна. ## Источники вдохновения - [moby/profiles](https://github.com/moby/profiles) — file integrity - [ethz-spylab/agentdojo](https://github.com/ethz-spylab/ag ## 🔗 Linear - [PZD-108](https://linear.app/kuhjie/issue/PZD-108) (match confidence: 0.432)