ai-assistant-pilot: факт-чек коробки 2026-06-30 — новые LXC 106-109 (authentik/telegram/cosmos+qbit+HA/hermes), расхождение с картой, дыра auth=False в Cosmos

projects/dttb/ai-assistant-pilot/architecture.md

@@ -120,3 +120,29 @@ sshpass -p '1qaz!QAZ' ssh root@192.168.1.247            # → хост pve
 4. NetBird добавлен на NPM коробки (LXC101 = `100.70.90.103`).
 5. `umnybot.ru` → SwarmClaw публично; остальное (omni/cloud/alex/git) — internal; 8 ZimaOS-доменов + `ai` удалены с VPS.
 6. `pve.umnybot.ru` → Proxmox UI публично **за Basic Auth** (`oleg`, access-list `pve-basic-auth`) + LE-серт id18. Креды — в [[credentials]].
+
+## ⚠️ Факт-чек состояния 2026-06-30 (расхождение с картой выше)
+
+Замер с code-server через джамп `LXC137(openclaw) → LXC102(alex-asst) → pve`. **Коробка ушла далеко вперёд от карты — на ней активно появляются новые LXC** (вероятно German-агент автономно / Олег вручную):
+
+**`pct list` (факт 2026-06-30):**
+| LXC | Имя | RAM | Что внутри (факт) | Статус |
+|---|---|---|---|---|
+| 101 | npm | 512 | jc21 NPM | 🟢 |
+| 102 | assistant | 4096 | openclaw (Алекс) active, omniroute active, assistant-postgres | 🟢 |
+| 103 | swarmclaw | — | swarmclaw (Up 11 дней) | 🟢 |
+| 104 | gitea | — | Gitea | 🟢 |
+| **106** | **authentik** | 2048 | authentik server+worker+pg16 (Up 11 дней, healthy) — **SSO УЖЕ ЕСТЬ** | 🟢 |
+| **107** | **telegram** | 1024 | `webtop-telegram` (Telegram в браузере, Up 10 дней) | 🟢 |
+| **108** | **cosmos-test** | 2048 | **Cosmos Cloud** (Up 10д) + **qBittorrent** (8д) + **Home-Assistant** (2д) + mongo:8 | 🟢 |
+| **109** | **german-alex** | 3072 | Hermes установлен (`/usr/local/lib/hermes-agent`), но **gateway НЕ запущен**; Docker нет | 🟡 заготовка |
+| ~~105~~ | ~~alex-apps~~ | — | **исчез** (был Homepage+filebrowser) | ❌ нет в pct list |
+| ~~VM100~~ | ~~Zima~~ | — | удалена ранее | ❌ |
+
+**Железо (факт):** хост ОЗУ 15906 МБ, **available ~10.4 ГБ** (used 5.5 ГБ) — бюджет лучше ожидаемого. `/mnt/pve/Work` 1.8 ТБ, занято 21 ГБ (2%). LXC102 свободно ~3.2 ГБ из 4.
+
+**Cosmos (LXC108 `/var/lib/cosmos/cosmos.config.json`):**
+- Hostname `cosmos.umnybot.ru`, HTTPS **SELFSIGNED** (не LE), AutoUpdate on, NewInstall false.
+- Маршруты (2): `qbittorrent.cosmos.umnybot.ru → qBittorrent:8080`, `home-assistant.cosmos.umnybot.ru → Home-Assistant:8123`. **Оба `auth=False`** (SmartShield on, но без SSO!) — дыра, при паблик-доступе закрыть.
+
+**Выводы для концепции `benilux/umny-server-concept`:** часть шагов уже частично выполнена (Cosmos=движок, qBittorrent, authentik=SSO, Hermes-заготовка, Telegram-webtop). План пересобрать из «ставить» в «навести порядок + доделать + закрыть безопасность». **Не дублировать существующее.**