Payload sanitizer (pure function): token / secret / password / cookie

## Что это `sanitizePayload(input)` — pure function, без side effects, без logging. Маскирует token-like строки (regex по prefixes), secret env vars, password fields, cookie headers, email addresses, phone numbers. 100% covered, deterministic. ## Зачем Pure function = тестируема в изоляции, переиспользуема везде, не имеет race conditions. Это foundation для всей audit-санитации. ## Источники вдохновения - [blacklanternsecurity/bbot](https://github.com/blacklanternsecurity/bbot) — secret det ## 🔗 Linear - [PZD-145](https://linear.app/kuhjie/issue/PZD-145) (match confidence: 0.77)