Clarify zip password file diagnostics

docs/agent-install-runbook.md

@@ -85,6 +85,8 @@ INSTALL_VAULT_PASS_METHOD="archive"
 VAULT_PASS_ZIP_PASSWORD_FILE="/secure/path/zip-password.txt"
 ```
 
+注意：`VAULT_PASS_ZIP_PASSWORD_FILE` 必須指向「只包含 zip 密碼的一行純文字檔」。不要把它指到 `secrets/vault-pass.txt.zip`（zip 壓縮檔本身）、`~/.config/vault-pass.txt`（Ansible Vault password file）、私鑰、或任何二進位檔。若 installer 報告檔案含 NUL bytes，通常就是路徑指錯了；請改成正確的 zip 密碼文字檔，或改用 `VAULT_PASS_ZIP_PASSWORD` / `url` / `manual` 方法。
+
 若需要使用另一個 env 檔：
 
 ```bash
@@ -178,6 +180,8 @@ VAULT_PASS_URL="https://example.com/one-time/vault-pass.txt" \
 ./scripts/install-vault-pass.sh
 
 # 方式 B：從密碼保護 zip 解壓，zip 密碼放在本機安全檔案
+# /secure/path/zip-password.txt 必須是純文字，內容只有 zip 密碼本身；
+# 不可指到 secrets/vault-pass.txt.zip 或 ~/.config/vault-pass.txt。
 INSTALL_VAULT_PASS_METHOD=archive \
 VAULT_PASS_ZIP_PASSWORD_FILE=/secure/path/zip-password.txt \
 ./scripts/install-vault-pass.sh