diff --git a/projects/dttb/ai-assistant-pilot/architecture.md b/projects/dttb/ai-assistant-pilot/architecture.md
index dfa4d2e..bfd7eb1 100644
--- a/projects/dttb/ai-assistant-pilot/architecture.md
+++ b/projects/dttb/ai-assistant-pilot/architecture.md
@@ -167,3 +167,14 @@ VPS-шлюз (openresty) публикует:
 - На **коробке OmniRoute (LXC102, 96 моделей)** GLM 5.2 **НЕТ** — только `kr/glm-5`/`kiro/glm-5` (через Kiro-пул). Чтобы бот Александра думал на GLM 5.2: либо подключить провайдер `glm` в OmniRoute коробки (как на 132), либо ходить через OmniRoute 132 по NetBird.
 
 **Решения (Олег 2026-06-30):** второй бот = новый через BotFather (токен ждём); модель = GLM 5.2.
+
+### Безопасность: что блокировано доступом (2026-06-30)
+
+Попытка закрыть хвосты с code-server упёрлась в отсутствие доступа:
+- **VPS-шлюз (158.255.0.139 / NetBird 100.70.127.23)** — мой ключ не добавлен ни с code-server, ни с openclaw(137), ни через NetBird. Публичный :22 таймаутит (exit-node блок). → **убрать админку Cosmos с паблика без ключа к VPS нельзя.**
+- **Cosmos-админ** — вход за логином (хорошо), mongo (COSMOS db) требует auth (хорошо). Включить auth на маршруты qbit/HA правильнее через UI/API Cosmos, но нужен **админ-логин Cosmos** (у Олега). Править cosmos.config.json руками — рискованно (Cosmos перезапишет), не делал.
+- Cosmos-server (LXC108): `8088→80`, `8444→443`; mongo `cosmos-mongo-eN2`.
+
+**Нужно от Олега для разблокировки безопасности:** (1) добавить ключ code-server на VPS-шлюз ИЛИ убрать `cosmos.umnybot.ru` с VPS самому; (2) дать админ-доступ к Cosmos UI (логин/пароль) для включения SSO на маршрутах.
+
+**Второй бот «Мажордом» (имя выбрано 2026-06-30):** ждём токен из BotFather (личный «Герман» Олега не трогаем — отдельный бот). Бот на 109, модель GLM 5.2.