v1.11.0 - supervision humana configurable + auditoria de config

Hace la supervisión humana configurable y publica el resultado de la auditoría de configuración contra la spec oficial de Claude Code.

Added

• Supervisión humana configurable (approval_mode: full/critical/auto, por defecto critical). Vía scope.json constraints.approval_mode o ORCH_APPROVAL_MODE. Un solo toggle gobierna CLI (nuevo hook .claude/hooks/approval_gate.py) y bot/TUI (runner._gate). Las puertas deterministas NO se relajan en ningún modo: scope_guard, budget_guard, secret_scan, a2a_guard y el no-daño siguen activos (un deny gana sobre cualquier auto-aprobación).
• CONSTITUTION.md → v2.0.0: enmienda del §2 (supervisión obligatoria → configurable; alcance/no-daño/presupuesto siguen innegociables).
• docs/config-audit.md: auditoría + referencia de los modos.

Changed

• Auditoría de config (Claude Code 2.1.x): config válida y vigente. settings.json añade $schema y quita $comment* (los settings de proyecto son estrictos); hooks con ${CLAUDE_PROJECT_DIR} + python3; manifest del plugin enriquecido. scope.example.json documenta los knobs de constraints.
• Docs alineados: CONSTITUTION, AGENTS, GUARDRAILS (C2), README, RUNBOOK, bot/README.

⚠️ Cambio de comportamiento por defecto

Con critical, el bot/TUI auto-aprueban el tier ask (nmap/sqlmap/nxc/secretsdump…); solo lo crítico (C2/implantes) pide confirmación. Para la supervisión máxima anterior: approval_mode: full.

Verificado: validate_suite 296/0, verify_opencode 11/0, dryrun, test_tui 32/32, test_intel 28/28. Changelog: CHANGELOG.md