feat: 2 neue seed_rules + Diagnostic-Persistenz fuer agent_stream + chat-backup API

Befund aus chat_backup.jsonl-Analyse heute: ARIA ist 3x auf oauth_authorize
gefallen statt oauth_get_token (Stefan musste manuell einloggen), und beim
PDF-Skill ist sie nach Stefans "Variante bitte" zu Ad-hoc-Bash-Befehlen
auf der VM gedriftet ("ich lass den Code direkt laufen") — Skill wurde
unbrauchbar. Beides genau die Antipattern die wir mit den seed_rules
abdecken wollten, nur waren die zu schwach formuliert.

seed_rules (jetzt 9 statt 7):
- oauth-reauth-reflex: bei 401 ZUERST oauth_get_token, NUR bei dessen
  Fehler oauth_authorize. Stefan zu Re-Login schicken ist das aergerlichste
  Antipattern (er sitzt im Auto, muss Handy rauskramen).
- no-skill-drift: kaputter Skill -> skill_logs + skill_update, NIEMALS
  zu Ad-hoc-Bash wechseln (Skill wird Karteileiche). Plus: "ich baue
  dir einen Skill" SAGEN ohne skill_create zu rufen ist verboten —
  Stefan checkt die Liste und verliert das Vertrauen.

agent_stream-Persistenz:
- diagnostic/server.js schreibt jeden agent_stream-Event parallel zum
  Broadcast in /shared/logs/agent_stream.jsonl (soft-cap 50 MB mit
  half-truncate beim Ueberlauf).
- Live-View laedt beim Page-Load + Sub-Tab-Switch die letzten 200
  Eintraege via /api/agent-stream. Browser-Reload / Standby verliert
  damit den Verlauf nicht mehr.

Debug-API ohne SSH:
- GET /api/chat-backup?lines=N (Default 200, Max 5000) — geparstes JSON
  der letzten N Zeilen aus chat_backup.jsonl
- GET /api/agent-stream?lines=N — gleiches fuer den persistierten Stream

README:
- Neuer Abschnitt "## Skills — Architektur" mit Skill-Layout,
  Drei-Stufen-Daten-Modell (OAuth / config_schema / Brain-Daten),
  Versionierung, Anti-Friedhof, seed_rules (alle 9 aufgelistet).
- Diagnostic-Sektion um agent_stream-Persistenz + neue Debug-Endpoints
  ergaenzt.
- Roadmap: Phase B "Skill-Architektur P0-P4" abgehakt.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

aria-brain/seed_rules.py

@@ -114,6 +114,54 @@ SEED_RULES: List[dict] = [
             "Standort per /memory/search holen statt ihn als Arg zu erwarten."
         ),
     },
+    {
+        "migration_key": "seed/skill-rule/oauth-reauth-reflex",
+        "type": "rule",
+        "title": "Skill-Regel: OAuth-Re-Auth-Reflex (Refresh statt Re-Login)",
+        "category": "skills",
+        "content": (
+            "Wenn ein API-Call gegen einen OAuth-Service 401 / 'unauthorized' / "
+            "'token expired' zurueckgibt: RUFE ZUERST "
+            "`oauth_get_token('<service>')`. Brain holt entweder den noch "
+            "gueltigen Token oder refresht ihn automatisch ueber den "
+            "gespeicherten refresh_token. In 99% der Faelle reicht das.\n"
+            "\n"
+            "Nur wenn `oauth_get_token` selbst einen Fehler wirft "
+            "('refresh failed', 'no refresh_token', 'service nicht "
+            "konfiguriert'): DANN `oauth_authorize` und Stefan zum Login "
+            "schicken. Vorher NIEMALS.\n"
+            "\n"
+            "Anti-Pattern (Stefan musste so 3x manuell einloggen weil ich "
+            "das falsch gemacht hatte): bei jedem 401 reflexartig "
+            "oauth_authorize zu rufen. Das ist das aergerlichste was Du "
+            "ihm antun kannst — er muss aus dem Auto raus, Handy "
+            "rauskramen, klicken. Refresh haendelt das Brain transparent, "
+            "nutze es."
+        ),
+    },
+    {
+        "migration_key": "seed/skill-rule/no-skill-drift",
+        "type": "rule",
+        "title": "Skill-Regel: kein Drift vom Skill zu Ad-hoc-Bash",
+        "category": "skills",
+        "content": (
+            "Wenn ein bestehender Skill ein Problem hat (kaputter Output, "
+            "fehlender Feature-Wunsch, Setup-Error): lies `skill_logs` und "
+            "`skill_get`, finde das Problem, fixe es mit `skill_update`. "
+            "\n"
+            "ABSOLUT VERBOTEN: 'ich lass den Code jetzt einfach direkt auf "
+            "der VM laufen' / direkt Bash-curl-Befehle ausfuehren statt "
+            "den Skill anzufassen. Das macht den Skill zur Karteileiche "
+            "und beim naechsten Mal hast Du wieder nichts. Stefan kann "
+            "dann auch nichts wiederverwenden (Triggers, App-UI, Logs).\n"
+            "\n"
+            "Auch nicht: 'ich baue dir einen Skill' SAGEN ohne tatsaechlich "
+            "`skill_create` zu rufen. Stefan checkt die Skill-Liste, und "
+            "wenn er nichts findet, glaubt er dir nie wieder. Wenn Du es "
+            "sagst, MACH es. Wenn es Probleme gibt (anti-Friedhof-Check, "
+            "Setup-Error): sag das ehrlich statt zu halluzinieren."
+        ),
+    },
     {
         "migration_key": "seed/skill-rule/external-api-auth-strategy",
         "type": "rule",