feat(upgrade): SHA-256校验、Intel mac 交叉编译、全平台后发布

- upgrade: 下载后校验 .sha256 摘要再安装
- workflow: ARM mac 同时产出 aarch64/x86_64 双架构，补全 Intel mac 产物
- workflow: 各平台上传主资产及 .sha256，Linux/macOS/Windows 全成功才发布 Release
- upgrade: 补充 parse_tag_version、parse_checksum_file、extract_from_targz 单元测试
- docs: README/AGENTS 同步 upgrade 与平台说明

Made-with: Cursor

AGENTS.md

@@ -23,7 +23,7 @@ secrets/
       update.rs          # update 命令：增量更新，CAS 并发保护，含历史快照
       rollback.rs        # rollback / history 命令：版本回滚与历史查看
       run.rs             # inject / run 命令：临时环境变量注入
-      upgrade.rs         # upgrade 命令：检查并下载最新版本，自动替换二进制
+      upgrade.rs         # upgrade 命令：检查、校验摘要并下载最新版本，自动替换二进制
   scripts/
     setup-gitea-actions.sh  # 配置 Gitea Actions 变量与 Secrets
   .gitea/workflows/
@@ -408,13 +408,13 @@ secrets run -n refining --kind service --name gitea -- printenv
 
 ### upgrade — 自动更新 CLI 二进制
 
-从 Gitea Release 下载最新版本并替换当前二进制，无需数据库连接或主密钥。
+从 Gitea Release 下载最新版本，校验对应 `.sha256` 摘要后替换当前二进制，无需数据库连接或主密钥。
 
 ```bash
 # 检查是否有新版本（不下载）
 secrets upgrade --check
 
-# 下载并安装最新版本
+# 下载、校验 SHA-256 并安装最新版本
 secrets upgrade
 ```
 
@@ -496,10 +496,11 @@ cargo fmt -- --check && cargo clippy -- -D warnings && cargo test
 
 ## CI/CD
 
-- Gitea Actions（runner: debian）
+- Gitea Actions（runners: debian / darwin-arm64 / windows）
 - 触发：`src/**`、`Cargo.toml`、`Cargo.lock` 变更推送到 main
-- 构建目标：`x86_64-unknown-linux-musl`（静态链接，无 glibc 依赖）
-- 新版本自动打 Tag（格式 `secrets-<version>`）并上传二进制到 Gitea Release
+- 构建目标：`x86_64-unknown-linux-musl`、`aarch64-apple-darwin`、`x86_64-apple-darwin`（由 ARM mac runner 交叉编译）、`x86_64-pc-windows-msvc`
+- 新版本自动打 Tag（格式 `secrets-<version>`）并上传二进制与对应 `.sha256` 摘要到 Gitea Release
+- Release 仅在 Linux/macOS/Windows 构建全部成功后才会从 draft 发布
 - 通知：飞书 Webhook（`vars.WEBHOOK_URL`）
 - 所需 secrets/vars：`RELEASE_TOKEN`（Release 上传，Gitea PAT）、`vars.WEBHOOK_URL`（通知，可选）
 - **注意**：Gitea Actions 的 Secret/Variable 创建时，`data`/`value` 字段需传入**原始值**，不要使用 base64 编码