Skills marketplace с signature verification

## Что это Skills marketplace — registry навыков (skills), которые пользователь устанавливает в workspace одним кликом. Каждый skill — manifest (`skill.json`) с metadata, entry-point (TS module), и signature (Ed25519). Registry hosted на R2/CloudFront, manifest подписан maintainer-ключом. При install: download → verify signature → check workspace permissions → register в `@rox-one/shared/skills`. UI: Skills screen → marketplace tab → search/filter/category → install. Уже установленные показывают «Update available» при новой версии. Side-loaded skills (через CLI `rox skill install ./path`) проходят те же checks с локальной key-trust-list. Компоненты: `@rox-one/shared/skills`, `apps/electron/src/screens/Skills`, marketplace API contract. Signature: minisign-compatible, чтобы CLI tools работали из коробки. ## Зачем Marketplace превращает ROX из single-instrument в platform. Signature verification — единственный sane way доверять third-party коду в agent-mode (когда skill может запускать tools). Без marketplace skills остаются power-user feature. ## Источники вдохновения - [github/spec-kit](https://github.com/github/spec-kit) — Spec-Driven Development toolkit для skill authoring - [safishamsi/graphify](https://github.com/safishamsi/graphify) — knowledge-graph skill для AI-агентов - [kunkunsh/kunkun](https://github.com/kunkunsh/kunkun) — extensible plugin launcher с sandboxed exec - [agisota/OpenWorden](https://github.com/agisota/OpenWorden) — portable agent profile spec ## 🔗 Linear - [PZD-437](https://linear.app/kuhjie/issue/PZD-437) — backing ticket