feat(antigravity): configurable signature cache with bypass-mode validation

Antigravity 的 Claude thinking signature 处理新增 cache/bypass 双模式，
并为 bypass 模式实现按 SIGNATURE-CHANNEL-SPEC.md 的签名校验。

新增 antigravity-signature-cache-enabled 配置项（默认 true）：
- cache mode（true）：使用服务端缓存的签名，行为与原有逻辑完全一致
- bypass mode（false）：直接使用客户端提供的签名，经过校验和归一化

支持配置热重载，运行时可切换模式。

校验流程：
1. 剥离历史 cache-mode 的 'modelGroup#' 前缀（如 claude#Exxxx → Exxxx）
2. 首字符必须为 'E'（单层编码）或 'R'（双层编码），否则拒绝
3. R 开头：base64 解码 → 内层必须以 'E' 开头 → 继续单层校验
4. E 开头：base64 解码 → 首字节必须为 0x12（Claude protobuf 标识）
5. 所有合法签名归一化为 R 形式（双层 base64）发往 Antigravity 后端

非法签名处理策略：
- 非严格模式（默认）：translator 静默丢弃无签名的 thinking block
- 严格模式（antigravity-signature-bypass-strict: true）：
  executor 层在请求发往上游前直接返回 HTTP 400

按 SIGNATURE-CHANNEL-SPEC.md 解析 Claude 签名的完整 protobuf 结构：
- Top-level Field 2（容器）→ Field 1（渠道块）
- 渠道块提取：channel_id (Field 1)、infrastructure (Field 2)、
  model_text (Field 6)、field7 (Field 7)
- 计算 routing_class、infrastructure_class、schema_features
- 使用 google.golang.org/protobuf/encoding/protowire 解析

- resolveThinkingSignature 拆分为 resolveCacheModeSignature / resolveBypassModeSignature
- hasResolvedThinkingSignature：mode-aware 签名有效性判断
  （cache: len>=50 via HasValidSignature，bypass: non-empty）
- validateAntigravityRequestSignatures：executor 预检，
  仅在 bypass + strict 模式下拦截非法签名返回 400
- 响应侧签名缓存逻辑与 cache mode 集成
- Cache mode 行为完全保留：无 '#' 前缀的原生签名静默丢弃

internal/cache/signature_cache.go

@@ -5,7 +5,10 @@ import (
 	"encoding/hex"
 	"strings"
 	"sync"
+	"sync/atomic"
 	"time"
+
+	log "github.com/sirupsen/logrus"
 )
 
 // SignatureEntry holds a cached thinking signature with timestamp
@@ -193,3 +196,39 @@ func GetModelGroup(modelName string) string {
 	}
 	return modelName
 }
+
+var signatureCacheEnabled atomic.Bool
+var signatureBypassStrictMode atomic.Bool
+
+func init() {
+	signatureCacheEnabled.Store(true)
+	signatureBypassStrictMode.Store(false)
+}
+
+// SetSignatureCacheEnabled switches Antigravity signature handling between cache mode and bypass mode.
+func SetSignatureCacheEnabled(enabled bool) {
+	signatureCacheEnabled.Store(enabled)
+	if !enabled {
+		log.Warn("antigravity signature cache DISABLED - bypass mode active, cached signatures will not be used for request translation")
+	}
+}
+
+// SignatureCacheEnabled returns whether signature cache validation is enabled.
+func SignatureCacheEnabled() bool {
+	return signatureCacheEnabled.Load()
+}
+
+// SetSignatureBypassStrictMode controls whether bypass mode uses strict protobuf-tree validation.
+func SetSignatureBypassStrictMode(strict bool) {
+	signatureBypassStrictMode.Store(strict)
+	if strict {
+		log.Info("antigravity bypass signature validation: strict mode (protobuf tree)")
+	} else {
+		log.Info("antigravity bypass signature validation: basic mode (R/E + 0x12)")
+	}
+}
+
+// SignatureBypassStrictMode returns whether bypass mode uses strict protobuf-tree validation.
+func SignatureBypassStrictMode() bool {
+	return signatureBypassStrictMode.Load()
+}