feat: conectar sistema centralizado de seguridad al launcher y runtime

- Migrar admin a security/user-groups.yaml (admins group)
- agents.New() ahora acepta acl.ACL pre-resuelta como parámetro;
  elimina construcción interna desde cfg.Security.Roles
- cmd/launcher: carga shellsecurity.Load("security/") al arranque;
  si falla, WARN + política vacía (open access). Para cada agente
  llama pksecurity.ResolveACL y pasa la ACL a agents.New()
- cmd/launcher/registry.go: stores secPolicy en launchDeps para
  que reload() también resuelva ACL centralmente
- shell/matrix/listener.go: elimina invite gating y allowlist check
  basados en AllowedUsers; el control de acceso lo hace el runtime
- internal/config/schema.go: depreca campos Roles y AllowedUsers
  (backward compat, no eliminados)
- agents/*/config.yaml: elimina bloques security.roles y allowed_users
- dev/feature_flags.json: activa centralized-security-groups (enabled: true)

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

agents/asistente-2/config.yaml

@@ -162,7 +162,6 @@ matrix:
     dm_respond: true
     ignore_bots: true
     ignore_users: []
-    allowed_users: []            # vacío = sin restricción (todos pueden hablar)
     unauthorized_response: silent  # silent | explicit
     min_power_level: 0
 
@@ -208,14 +207,6 @@ ssh:
 # PERMISOS Y SEGURIDAD
 # ============================================
 security:
-  roles:
-    admin:
-      users: ["@admin:matrix-af2f3d.organic-machine.com"]
-      actions: ["*"]
-    user:
-      users: ["*"]
-      actions: ["*"]
-
   audit:
     enabled: false
     log_file: "./agents/asistente-2/data/audit.log"