ci(release): use a PAT so the Version Packages PR triggers CI

[yan-vidal]

Problema

PRs abertos pela própria GitHub Action (com o GITHUB_TOKEN padrão) não disparam workflows (proteção anti-loop do GitHub). Como a main agora exige os checks Changeset + verify com enforce_admins: true, o PR automático "Version Packages" do Changesets fica sem checks → impossível de mesclar, travando releases (precisava de um close/reopen manual).

Mudança

Passa secrets.CHANGESETS_PAT (com fallback para GITHUB_TOKEN) tanto no actions/checkout quanto no env da changesets/action. Com o PAT de um usuário real, o PR de release é atribuído a esse usuário e dispara o CI sozinho.

• Fallback seguro: enquanto o secret não existir, usa o GITHUB_TOKEN (comportamento atual — release PR exige reopen manual). Assim que o secret for criado, passa a funcionar automaticamente, sem mais mudanças.
• Publicação inalterada: o pnpm release continua usando OIDC (id-token); o token só autora o PR, os pushes da branch changeset-release/main, as tags e os releases.
• O PAT empurra apenas para changeset-release/main (branch não protegida); o commit de versão entra na main via merge da PR, então o PAT não contorna a proteção da main.

Sem changeset

Só altera .github/workflows/release.yml — nenhum pacote publicável muda, então o gate Changeset passa sem changeset (verificado: changeset status exit 0).