Changes

1. 按照已讨论的资源模式设置了 checker min tier 和 default checkers for resource tier

2. CheckerConfig 增加 selection_source 字段，用于区分 selected checker 来源：

   • explicit：用户或 agent model 生成的 pipline 通过 checker_names 显式指定
   • config：用户没有显式指定情况下，选择 tool_defaults.security_audit.checkers
   • auto：tool_defaults也没有配置checkers，选择 resource tier 默认池
     securoty_audit/tool.py中实际的checker选择就是按这个逻辑。相应地，validate_checker_resource_tier_availability()中会根据不同的来源设置不同的过滤策略：
   • explicit checker 资源越级，preflight issue 会报 error
   • config / auto checker 资源越级会 disable 掉，只报 warning，后续 executor 不会运行

3. 【可能存在冲突！！】validate_selected_checkers()调整了 preflight 顺序：

• 先执行 resource tier 检查
• 如果 checker 被 resource tier disabled，则跳过后续 network preflight
• 如果 explicit 越级已经 error，也不继续跑 network preflight

4. 【可能存在冲突！！】删掉了原来的MODEL_PATH_KEYS，模型路径的配置在checker_config就能读到，不需要再传tool_defaults，相关的_resolve_model_path也有改动噢

5. 【和network preflight有关】在 default.yaml 中补充 PIINERDetector 的默认配置 language=en，在检查依赖时除了要检查spacy库，还要确保安装了对应语言的模型spacy_model = "{language}_core_web_lg"