fix(execution-truth): 修系統對 401 假綠根因 + acr run self-hosted + D1-in-update

Haiku 自主壓測（test_arcrun/5）暴露的真 bug，逐一修復：

1. 假綠根因：http_request host function 丟掉 HTTP status code（main.go:112 架構債）
   → 非 2xx（如 Notion 401）被判 success → 引擎自己對失敗報成功。
   修：host fn 非 2xx 回 {error,status,body} envelope，既有判定鏈正確識別。
   http_request/claude_api/kbdb_upsert_block/km_writer 已修（4 worker deploy）；
   auth_service_account 自有 OAuth 判定不套。

2. acr run self-hosted：原一律走 /webhooks/<name>（需先 push）→ 沒 push 回 404 純文字
   → res.json() 爆假錯誤。修：本機有 YAML 走玩法一 /cypher/execute 直接執行（三模式一致）
   + res.ok 擋非 2xx + findWorkflowYaml 容忍 .yaml 副檔名。

3. D1-in-update：D1 只在 init 建一次，update 漏建 → token 補權限後無冪等補建路徑。
   修：update 也 ensureD1Database（已驗證 D1 建起 count:1）。

4. CF token 教學漏 D1：llms.txt/.env.example 加「Account/D1/Edit」必勾 + init/preflight
   訊息指明 token 缺 D1 權限的修法。

CLI 1.3.4 publish。Haiku 壓測結論：onboarding 治好（裝+init 沒跳過、建 recipe 不建零件），
但仍會假綠（curl 繞過/D1 沒建謊報）→ 印證執行真相要系統能驗、不信 AI 自報。

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

.env.example

@@ -19,8 +19,12 @@
 #
 #   2) 金鑰（API Token）：
 #      https://dash.cloudflare.com/profile/api-tokens → Create Custom Token →
-#      勾兩組權限：Account / Workers Scripts / Edit  和  Account / Workers KV Storage / Edit
-#      → 建立後複製那串 token 貼到下面。（不需要 R2、不需要綁卡。）
+#      勾三組權限（缺一不可）：
+#        · Account / Workers Scripts / Edit
+#        · Account / Workers KV Storage / Edit
+#        · Account / D1 / Edit          ← 必勾！arcrun 用 D1 存 workflow/recipe，
+#                                          漏勾會在 acr init 建 D1 時報 Authentication error
+#      → 建立後複製那串 token 貼到下面。（不需要 R2、不需要綁卡，D1 也在免費額度。）
 #
 CLOUDFLARE_ACCOUNT_ID=
 CLOUDFLARE_API_TOKEN=