[FEAT] 完善全站多語系支援、角色權限篩選優化及 UI 元件重構

- [DOCS] 補齊 en, ja, zh_TW 語系檔翻譯並完善驗證錯誤訊息 (validation.php)
- [FEAT] 角色權限頁面新增「所屬單位」篩選功能 (僅限系統管理員)
- [STYLE] 優化角色列表顯示，將「類型」變更為具體「所屬單位」名稱
- [STYLE] 修正角色頁面工具列佈局，搜尋框置前並修正下拉箭頭顯示
- [REFACTOR] 統一全站刪除確認視窗，導入新版 <x-delete-confirm-modal /> 組件
- [REFACTOR] 優化 PermissionController 查詢效能 (Eager Loading)
- [FIX] 修正 RoleSeeder 角色命名與資料庫同步邏輯

.agents/rules/rbac-rules.md

@@ -24,6 +24,11 @@ trigger: always_on
 - 建立新資源時，必須在背景強制綁定 `company_id`，禁止由前端傳參決定。
 - 範例：`$model->company_id = Auth::user()->company_id;`
 
+### 1.4 角色清單隔離 (Role List Isolation)
+- 租戶管理員 (Tenant Admin) 只能管理隸屬於其公司下的角色。
+- **嚴禁使用**包含 `NULL` 的 `forCompany` 廣義作用域來展示管理清單。
+- 查詢時必須嚴格使用 `where('company_id', auth()->user()->company_id)` 隔離系統 Super Admin 或 角色範本。
+
 ---
 
 ## 2. 權限開發規範 (spatie/laravel-permission)
@@ -36,6 +41,12 @@ trigger: always_on
 - 權限名稱應遵循 `[module].[action]` 格式（例如 `machine.view`, `machine.edit`）。
 - 所有租戶共用相同的權限定義。
 
+### 2.3 權限遞迴約束 (Privilege Delegation Constraint)
+為防止權限提升 (Privilege Escalation)：
+- **權限子集驗證**：管理員僅能指派其**自身持有**之權限給其他角色或帳號。
+- **Controller 實作**：在 `store` 或 `update` 時，必須比對傳入的權限集合是否為操作者 `getPermissionNames()` 的子集。
+- **UI 過濾**：權限分配介面應基於當前使用者權限清單進行動態過濾展示。
+
 ---
 
 ## 3. 介面安全 (UI/Blade)