praisonai: A2U event streaming server sem autenticação por padrão

O servidor de streaming de eventos A2U iniciado via `praisonai serve a2u` não impõe autenticação por padrão, contrariando a correção alegada no GHSA-f292-66h9-fpmf. A CLI não expõe `--api-key`, não instala middleware de chave de API e não gera um token; a autenticação só é aplicada se a variável de ambiente `A2U_AUTH_TOKEN` estiver definida.

Operadores que executam `praisonai serve a2u` sem definir manualmente `A2U_AUTH_TOKEN`, especialmente ao vincular a `0.0.0.0`. Atacantes que conseguem alcançar o servidor podem assinar fluxos de eventos de agente sem credenciais.

Defina a variável de ambiente `A2U_AUTH_TOKEN` com um segredo forte antes de iniciar `praisonai serve a2u`, ou evite expor o servidor A2U em interfaces de rede até que uma correção seja aplicada.