fix(self-hosted): 身份改明碼 namespace（.env）+ path-based webhook trigger

壓測 §7.2：seed 通了但 creds push/push/runtime 全卡「缺少 api_key」——
self-hosted init 從不發 api_key，但三條路徑都建在多租戶 {api_key}:cred 模型上。

richblack 拍板：self-hosted 不需祕密 api_key，只需 namespace（分區標籤）：
- config：ENV_MAP 加 NAMESPACE/ENCRYPTION_KEY + .env 自動載入（無 dotenv 依賴）
- namespace 明碼用戶自填（.env NAMESPACE=leo），沿用 api_key 路徑 → 零分叉
- encryption_key 用戶 .env 自填（工具不生成不 hash），須與 worker secret 一致
- creds/push/init：缺值改引導設 .env，不再叫去 register
- runtime：cypher 加 POST /webhooks/named/:ns/:name/trigger（namespace 走 path，
  公開表單免 header）；與 header 路徑共用 triggerNamed，不分叉
- push：self-hosted 顯示 path-based 公開 webhook URL

誠實限制：namespace 明碼非密碼；防外部呼叫靠 webhook 保護（mindset §6）。
CLI 1.3.0 → 1.3.1。SDD: self-hosted-init.md §7.7。

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

README.md

@@ -153,16 +153,27 @@ acr init --self-hosted
 
 你不需要懂 git、不需要懂 tinygo、不需要手動建任何東西——預編譯好的零件（`.wasm`）直接從 GitHub 下載，用**你自己的** CF token 部署到**你的**帳號。
 
-**最後一步（手動，CLI 會印提示）**：設定加密金鑰 secret。這一步刻意不自動化（密鑰不進工具流程）：
+**最後一步：身份設定（你自己持有，工具不碰）。** self-hosted 是單租戶——你不需要平台發的 API Key，只需要兩個你自己填的值。在專案建一個 `.env`：
+
+```bash
+# .env（已被 gitignore；CLI 會自動讀）
+NAMESPACE=leo                 # 你的資料分區標籤（明碼即可，這不是密碼）
+ENCRYPTION_KEY=<64+ hex>      # credential 加密金鑰，你自己保管（忘了 = 解不開已上傳的 credential）
+# 生成 key：node -e "console.log(require('crypto').randomBytes(32).toString('hex'))"
+```
+
+> `NAMESPACE` 只是「你的資料放哪個分區」的標籤，不是密碼——要防別人呼叫你的 webhook，請對 webhook 加保護（見下）。
+
+把**同一把** `ENCRYPTION_KEY` 也設進你的 worker（runtime 解密要用，CLI 會印確切指令）：
 
 ```bash
-# CLI 會印出確切指令，照貼即可。三個 Worker 共用同一把 key：
 wrangler secret put ENCRYPTION_KEY --name arcrun-cypher-executor
 wrangler secret put ENCRYPTION_KEY --name arcrun-auth-static-key
 wrangler secret put ENCRYPTION_KEY --name arcrun-auth-service-account
-# 生成一把 key：node -e "console.log(require('crypto').randomBytes(32).toString('hex'))"
 ```
 
+> 不想自己 put？跑 `acr init` 時明示同意，AI 可代你設——但預設由你自己 put（金鑰是你持有的）。
+
 完成。之後有新版零件，跑 `acr update` 一樣自動拉新、重部署。
 
 > 想先不碰 Cloudflare、純在本機感受語法？`acr init --local` 然後直接跳到下面「寫一個工作流」。