feat(mcp+runtime): allineamento a Cerbero MCP V2 e flag operativi

Adegua Cerbero Bite alla nuova versione 2.0.0 del server MCP unificato
(testnet/mainnet routing per token, header X-Bot-Tag obbligatorio) e
introduce due interruttori operativi indipendenti per separare la
raccolta dati dall'esecuzione di strategia.

Auth e collegamento MCP
- Token bearer letto dalla nuova variabile CERBERO_BITE_MCP_TOKEN; il
  valore sceglie l'ambiente upstream (testnet vs mainnet) sul server.
  Rimosso il caricamento da file (`secrets/core.token`,
  CERBERO_BITE_CORE_TOKEN_FILE, Docker secret /run/secrets/core_token).
- Aggiunto header X-Bot-Tag (default `BOT__CERBERO_BITE`, override via
  CERBERO_BITE_MCP_BOT_TAG) su ogni call MCP, con validazione lato client
  (non vuoto, ≤ 64 caratteri).
- Cartella `secrets/` rimossa, `.gitignore` ripulito, Dockerfile e
  docker-compose.yml aggiornati con env passthrough e fail-fast quando
  manca il token.

Modalità operativa (RuntimeFlags)
- Nuovo modulo `config/runtime_flags.py` con `RuntimeFlags(
  data_analysis_enabled, strategy_enabled)` e loader che parserizza
  CERBERO_BITE_ENABLE_DATA_ANALYSIS e CERBERO_BITE_ENABLE_STRATEGY
  (true/false/yes/no/on/off/enabled/disabled, case-insensitive).
- L'orchestratore espone i flag, audita e logga la modalità al boot
  (`engine started: env=… data_analysis=… strategy=…`), e in
  `install_scheduler` esclude i job `entry`/`monitor` quando strategy è
  off e il job `market_snapshot` quando data analysis è off. I job di
  infrastruttura (health, backup, manual_actions) restano sempre attivi.
- Default profile = "solo analisi dati" (data_analysis=true,
  strategy=false), pensato per la finestra di soak post-deploy.

GUI saldi
- `gui/live_data.py::_fetch_deribit_currency` riconosce il campo soft
  `error` nel payload V2 (HTTP 200 con `error` valorizzato dal server
  quando l'auth Deribit fallisce) e lo propaga come `BalanceRow.error`,
  evitando di mostrare un fuorviante equity = 0,00.

CLI
- Sostituita l'opzione `--token-file` con `--token` (stringa) sui comandi
  start/dry-run/ping; il default proviene dall'env. Le chiamate al
  builder dell'orchestrator passano anche `bot_tag` e `flags`.

Documentazione
- `docs/04-mcp-integration.md`: descrizione del nuovo flusso di auth V2
  (token = ambiente, X-Bot-Tag nell'audit) e router unificati.
- `docs/06-operational-flow.md`: nuova sezione "Modalità operativa" con
  i tre profili canonici e tabella di gating per ogni job; aggiunto
  `market_snapshot` al cron summary.
- `docs/10-config-spec.md`: nuova sezione "Variabili d'ambiente"
  tabellare con tutti gli env, comprese le bool dei flag operativi.
- `docs/02-architecture.md`: layout del repo aggiornato (`secrets/`
  rimosso, `runtime_flags.py` aggiunto), descrizione di `config/`
  estesa.

Test
- 5 nuovi test su `_fetch_deribit_currency` (soft-error, payload pulito,
  eccezione, error blank, signature parity).
- 7 nuovi test su `load_runtime_flags` (default, override, parsing
  truthy/falsy, blank fallback, valore invalido).
- 4 nuovi test su `HttpToolClient` (X-Bot-Tag default e custom, blank e
  troppo lungo rifiutati).
- 3 nuovi test integration sull'orchestratore (gating dei job in base
  ai flag).
- Test esistenti su token/CLI ping/orchestrator aggiornati al nuovo
  schema. Suite intera: 404 passed, 1 skipped (sqlite3 CLI assente
  sull'host di sviluppo).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

src/cerbero_bite/cli.py

@@ -31,9 +31,11 @@ from cerbero_bite.clients.sentiment import SentimentClient
 from cerbero_bite.config.loader import compute_config_hash, load_strategy
 from cerbero_bite.config.mcp_endpoints import (
     DEFAULT_ENDPOINTS,
+    load_bot_tag,
     load_endpoints,
     load_token,
 )
+from cerbero_bite.config.runtime_flags import load_runtime_flags
 from cerbero_bite.logging import configure as configure_logging
 from cerbero_bite.logging import get_logger
 from cerbero_bite.runtime.orchestrator import Orchestrator, make_orchestrator
@@ -205,9 +207,14 @@ def _engine_options(func: Callable[..., Any]) -> Callable[..., Any]:
             show_default=True,
         ),
         click.option(
-            "--token-file",
-            type=click.Path(dir_okay=False, path_type=Path),
+            "--token",
+            type=str,
             default=None,
+            help=(
+                "MCP bearer token (overrides CERBERO_BITE_MCP_TOKEN). "
+                "The server uses the token to choose between testnet "
+                "and mainnet upstream environments."
+            ),
         ),
         click.option(
             "--db",
@@ -243,7 +250,7 @@ def _engine_options(func: Callable[..., Any]) -> Callable[..., Any]:
 def _build_orchestrator(
     *,
     strategy_path: Path,
-    token_file: Path | None,
+    token: str | None,
     db: Path,
     audit: Path,
     environment: str,
@@ -251,7 +258,7 @@ def _build_orchestrator(
     enforce_hash: bool = True,
 ) -> Orchestrator:
     loaded = load_strategy(strategy_path, enforce_hash=enforce_hash)
-    token = load_token(path=token_file)
+    resolved_token = load_token(value=token)
     # Strategy file values win over the CLI defaults; explicit overrides
     # via env-style values (CLI flags) still apply when the user provides
     # them — Click signals "default" via Click's resilient_parsing flag,
@@ -270,11 +277,13 @@ def _build_orchestrator(
     return make_orchestrator(
         cfg=loaded.config,
         endpoints=load_endpoints(),
-        token=token,
+        token=resolved_token,
         db_path=db,
         audit_path=audit,
         expected_environment=chosen_env,  # type: ignore[arg-type]
         eur_to_usd=chosen_fx,
+        bot_tag=load_bot_tag(),
+        flags=load_runtime_flags(),
     )
 
 
@@ -282,7 +291,7 @@ def _build_orchestrator(
 @_engine_options
 def start(
     strategy_path: Path,
-    token_file: Path | None,
+    token: str | None,
     db: Path,
     audit: Path,
     environment: str,
@@ -292,7 +301,7 @@ def start(
     try:
         orch = _build_orchestrator(
             strategy_path=strategy_path,
-            token_file=token_file,
+            token=token,
             db=db,
             audit=audit,
             environment=environment,
@@ -322,7 +331,7 @@ def start(
 )
 def dry_run(
     strategy_path: Path,
-    token_file: Path | None,
+    token: str | None,
     db: Path,
     audit: Path,
     environment: str,
@@ -332,7 +341,7 @@ def dry_run(
     """Execute one cycle without starting the scheduler."""
     orch = _build_orchestrator(
         strategy_path=strategy_path,
-        token_file=token_file,
+        token=token,
         db=db,
         audit=audit,
         environment=environment,
@@ -506,10 +515,13 @@ def kill_switch_status(db: Path) -> None:
 
 @main.command()
 @click.option(
-    "--token-file",
-    type=click.Path(dir_okay=False, path_type=Path),
+    "--token",
+    type=str,
     default=None,
-    help="Path to the bearer token file (default: secrets/core_token).",
+    help=(
+        "MCP bearer token (overrides CERBERO_BITE_MCP_TOKEN). The "
+        "server uses the token to choose between testnet and mainnet."
+    ),
 )
 @click.option(
     "--timeout",
@@ -518,16 +530,16 @@ def kill_switch_status(db: Path) -> None:
     show_default=True,
     help="Per-service timeout in seconds for the ping call.",
 )
-def ping(token_file: Path | None, timeout: float) -> None:
+def ping(token: str | None, timeout: float) -> None:
     """Print health status for every MCP service Cerbero Bite uses."""
     try:
-        token = load_token(path=token_file)
-    except (FileNotFoundError, ValueError) as exc:
+        resolved_token = load_token(value=token)
+    except ValueError as exc:
         console.print(f"[red]token error[/red]: {exc}")
         sys.exit(1)
 
     endpoints = load_endpoints()
-    rows = asyncio.run(_ping_all(endpoints, token=token, timeout=timeout))
+    rows = asyncio.run(_ping_all(endpoints, token=resolved_token, timeout=timeout))
 
     table = Table(title="MCP services")
     table.add_column("service")