fix(lab-content-engine): phase 5 — read-роуты auth-only, мутации inline admin

GET /related и /links возвращали 200 без токена: они были ПОСЛЕ blanket
router.use(requireRole('admin')) (хрупкий порядок при повторном mount роутера
в тестах). Убрал blanket; каждая мутация (patch/reorder/links POST+DELETE)
имеет INLINE requireRole('admin'); read-роуты — auth-only.
Также lab-links seed переведён на seedRow() (NOT NULL дрейф схемы).

lab-links 18/18, lab-sims 11/11, route-auth: 0 роутов lab.js во флаге.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

backend/src/routes/lab.js

@@ -69,8 +69,11 @@ router.get('/sims', (_req, res) => {
   res.json({ module_disabled: readModuleDisabled(), sims });
 });
 
-/* ── admin mutations ───────────────────────────────────────────────────── */
-router.use(requireRole('admin'));
+/* ── admin mutations ───────────────────────────────────────────────────────
+   ВАЖНО: НЕ используем blanket `router.use(requireRole('admin'))` — он применялся
+   бы и к ниже определённым READ-роутам Фазы 5 (/related, /links), которые должны
+   быть доступны любому авторизованному пользователю. Каждая мутация защищена
+   INLINE requireRole('admin') (так же видит route-auth линтер). */
 
 /* PATCH /api/lab/sims/:id  body: { enabled?, featured?, tags?, subject?, grade?, title?, cat? } */
 router.patch('/sims/:id', requireRole('admin'), (req, res) => {
@@ -125,7 +128,7 @@ router.patch('/sims/:id', requireRole('admin'), (req, res) => {
 });
 
 /* POST /api/lab/sims/reorder  body: { order: [id, id, ...] } */
-router.post('/sims/reorder', (req, res) => {
+router.post('/sims/reorder', requireRole('admin'), (req, res) => {
   const order = (req.body && req.body.order) || [];
   if (!Array.isArray(order) || !order.length) {
     return res.status(400).json({ error: 'order должен быть непустым массивом id' });