diff --git a/projects/dttb/ai-assistant-pilot/architecture.md b/projects/dttb/ai-assistant-pilot/architecture.md
index cc79589..99c412e 100644
--- a/projects/dttb/ai-assistant-pilot/architecture.md
+++ b/projects/dttb/ai-assistant-pilot/architecture.md
@@ -146,3 +146,14 @@ sshpass -p '1qaz!QAZ' ssh root@192.168.1.247            # → хост pve
 - Маршруты (2): `qbittorrent.cosmos.umnybot.ru → qBittorrent:8080`, `home-assistant.cosmos.umnybot.ru → Home-Assistant:8123`. **Оба `auth=False`** (SmartShield on, но без SSO!) — дыра, при паблик-доступе закрыть.
 
 **Выводы для концепции `benilux/umny-server-concept`:** часть шагов уже частично выполнена (Cosmos=движок, qBittorrent, authentik=SSO, Hermes-заготовка, Telegram-webtop). План пересобрать из «ставить» в «навести порядок + доделать + закрыть безопасность». **Не дублировать существующее.**
+
+### Проверка безопасности exposure (2026-06-30)
+
+Публичный DNS (`dig`): наружу резолвятся **только** `umnybot.ru`, `cosmos.umnybot.ru`, `pve.umnybot.ru` → 158.255.0.139 (VPS-шлюз). `qbittorrent/home-assistant.cosmos.umnybot.ru` — **НЕ резолвятся** (внутренние, из интернета недоступны) → дыра `auth=False` пока не открыта в интернет.
+
+VPS-шлюз (openresty) публикует:
+- `umnybot.ru` → HTTP 200, Next.js (SwarmClaw).
+- `cosmos.umnybot.ru` → 307 → `/cosmos-ui/` — **админка Cosmos торчит в паблик**. НО вход защищён: `/cosmos/api/servapps` = 401, `/cosmos/api/status` = «User not logged in», `newInstall` = 403 (setup закрыт). Не голая, но **рекомендуется убрать с паблика** (оставить по NetBird/за SSO).
+- `pve.umnybot.ru` → Proxmox за Basic Auth (как и было).
+
+**Хвосты безопасности (не пожар, в работу):** (1) убрать Cosmos-админку с публичного VPS; (2) перед любым публичным сервисом включить SSO (authentik уже стоит) вместо `auth=False`; (3) сменить общий `1qaz!QAZ` + 2FA на Proxmox.