Me he montado un honeypot con IA en una Raspberry Pi y los hackers caen como moscas

Cita de Sixtolo

Mola mucho.

¿Cuánta RAM te consume?

Cita de WhatDa

Me alegro que te guste Shur!

HoneyAi con los 11 protocolos actuales solo consumen 32mb de ram, y Ollama unos 630mb.

Casi ni se nota piensa que en la Pi tengo muchas mas imagenes de docker corriendo:

Jellyfinn, Sonarr, Radarr, Transmision, Gitea, Pihole...

Y el honeypot ni se nota.

Cita de dos4gw

Es decir, hay un bot haciendo informes de bots atacando a bots. Seguramente los bots atacantes hagan informes tambien de sus ataques.

Cita de Sixtolo

Eso es poquísimo ¿lo ves corriendo en una Pi4 de 2GB?

Cita de WhatDa

Buenas


Pues eso, que llevo 12 años picando código y tengo una Raspberry Pi 5 expuesta a internet en mi casa. La tenía con 5 herramientas de ciberseguridad distintas (Cowrie, Endlessh, Galah, OpenCanary, Suricata…) y un día me harté de gestionar 5 configs, 5 logs y 5 crons distintos y dije: ¿y si junto todo en UNO SOLO y le meto IA para que las respuestas sean más reales?


Resultado:

HoneyAI — un honeypot open-source que simula 11 protocolos distintos con un LLM local (Ollama). Todo en un solo proceso de Node.js.


¿Qué coño es un honeypot?


Básicamente un servidor trampa que se hace pasar por uno real. Los hackers entran pensando que es un servidor de verdad y el sistema les graba todo lo que hacen, les roba tiempo y reporta sus IPs automáticamente a 5 bases de datos de amenazas.


¿Qué hace exactamente?

• Si un ruso intenta hacer SQLi → le devuelve un dump de BBDD FALSO con credenciales trampa (canary tokens)
• Si entra por SSH → le da un bash interactivo falso con archivos señuelo (claves AWS falsas, wallets crypto falsas, etc)
• Si escanea rutas tipo /wp-login, /.env, /.git → lo mete en un tarpit que lo atrapa ~30 segundos por request
• Si prueba FTP, Telnet, MySQL, Redis, VNC, RDP, Git → TODO falso, TODO generado por IA
• Reporta automáticamente a AbuseIPDB, OTX, DShield, Blocklist.de y VirusTotal

La IA es la clave: no son respuestas estáticas como los honeypots clásicos. El LLM lee el payload del atacante y genera una respuesta creíble. El filtro de identidad bloquea cualquier mención a "honeypot", "AI", "simulation" en 8 idiomas para que no se delate.


La parte que más mola: cada noche, otro pipeline automático recopila todos los ataques del día, los analiza con otro LLM, genera un informe de amenazas y LO PUBLICA SOLO en un blog:


https://honey-ai.dev


Lleva desde mayo publicando informes diarios sin tocar nada. Datos reales de ataques reales a mi Pi.


Plot twist: el proyecto entero está hecho con vibe coding. Llevo 12 años programando pero esto lo he generado con IA bajo mi supervisión. Desde el honeypot, hasta el blog, los pipelines, el CI, los 98 tests… todo. Y está en producción 24/7 recibiendo ataques reales.


Specs:

• Node.js + Ollama (LLM local, sin enviar nada a la nube)
• Corre en una Raspberry Pi 5 (o cualquier VPS de 5€)
• Docker: docker compose up -d y ya
• 98 tests pasando
• AGPL-3.0 (open-source total)

Repo: https://github.com/martidu4/honey-ai
Blog en vivo: https://honey-ai.dev


Si alguien quiere contribuir, hay issues abiertas para nuevos protocolos (DNS, SNMP, SIP), mejoras del dashboard, etc.
Y si algún forero tiene un VPS/Pi tirado por ahí y lo quiere montar, en 5 minutos lo tiene corriendo.


Ale, ¿preguntas? ¿hate? ¿sugerencias?

Cita de Babu Bhatt

Porqué te atacan tanto los rusos? Yo tengo una pi4 en la cocina, la uso para ver Netflix comiendo y ya, debería preocuparme?

Cita de SSAP

Interesante aunque no haya entendido la mitad de los palabros...

Me da a reflexionar que los hackers siempre son rusos como los malos en las películas de los 90 rollo jungla de cristal...

Cita de SrTazs

Mis diez shur. Una vez probé ante el miedo de hackers por los puertos 443, adguard y crawdsec

Cita de Tilux

Interesante, yo tengo un server con plex y transmission, ahora me gustaría montarme bien un nextcloud lo mas seguro posible.

Y creo que aprender de esto no estaría mal.

Cita de WhatDa

Buenas


Pues eso, que llevo 12 años picando código y tengo una Raspberry Pi 5 expuesta a internet en mi casa. La tenía con 5 herramientas de ciberseguridad distintas (Cowrie, Endlessh, Galah, OpenCanary, Suricata…) y un día me harté de gestionar 5 configs, 5 logs y 5 crons distintos y dije: ¿y si junto todo en UNO SOLO y le meto IA para que las respuestas sean más reales?


Resultado:

HoneyAI — un honeypot open-source que simula 11 protocolos distintos con un LLM local (Ollama). Todo en un solo proceso de Node.js.


¿Qué coño es un honeypot?


Básicamente un servidor trampa que se hace pasar por uno real. Los hackers entran pensando que es un servidor de verdad y el sistema les graba todo lo que hacen, les roba tiempo y reporta sus IPs automáticamente a 5 bases de datos de amenazas.


¿Qué hace exactamente?

• Si un ruso intenta hacer SQLi → le devuelve un dump de BBDD FALSO con credenciales trampa (canary tokens)
• Si entra por SSH → le da un bash interactivo falso con archivos señuelo (claves AWS falsas, wallets crypto falsas, etc)
• Si escanea rutas tipo /wp-login, /.env, /.git → lo mete en un tarpit que lo atrapa ~30 segundos por request
• Si prueba FTP, Telnet, MySQL, Redis, VNC, RDP, Git → TODO falso, TODO generado por IA
• Reporta automáticamente a AbuseIPDB, OTX, DShield, Blocklist.de y VirusTotal

La IA es la clave: no son respuestas estáticas como los honeypots clásicos. El LLM lee el payload del atacante y genera una respuesta creíble. El filtro de identidad bloquea cualquier mención a "honeypot", "AI", "simulation" en 8 idiomas para que no se delate.


La parte que más mola: cada noche, otro pipeline automático recopila todos los ataques del día, los analiza con otro LLM, genera un informe de amenazas y LO PUBLICA SOLO en un blog:


https://honey-ai.dev


Lleva desde mayo publicando informes diarios sin tocar nada. Datos reales de ataques reales a mi Pi.


Plot twist: el proyecto entero está hecho con vibe coding. Llevo 12 años programando pero esto lo he generado con IA bajo mi supervisión. Desde el honeypot, hasta el blog, los pipelines, el CI, los 98 tests… todo. Y está en producción 24/7 recibiendo ataques reales.


Specs:

• Node.js + Ollama (LLM local, sin enviar nada a la nube)
• Corre en una Raspberry Pi 5 (o cualquier VPS de 5€)
• Docker: docker compose up -d y ya
• 98 tests pasando
• AGPL-3.0 (open-source total)

Repo: https://github.com/martidu4/honey-ai
Blog en vivo: https://honey-ai.dev


Si alguien quiere contribuir, hay issues abiertas para nuevos protocolos (DNS, SNMP, SIP), mejoras del dashboard, etc.
Y si algún forero tiene un VPS/Pi tirado por ahí y lo quiere montar, en 5 minutos lo tiene corriendo.


Ale, ¿preguntas? ¿hate? ¿sugerencias?

Cita de eThor

mola! Tengo un miniPC usando de server..crees seguro tener todas esas trampas en un docker? O sería mejor una sola máquina física para ello?

Cita de magnum_44

mola y me interesa, ahora uso opencanary, pero no lo uso como servicio externo sino como honeypot en cada subred interna en mi LAN.


Mirando el proyecto me faltan dos cosas importantes, honeypot samba y detección de escaneo de puertos.


¿hay alguna razón de porque esta hecho con JS? No me mola mucho el ecosistema JS.

Cita de te_voy_meter

Se puede hacer lo contrario?

Es decir, no mal interpretes.... Poner una ia a localizar fallos en mi homelab? Sobre todo lo expuesto? Digo porque al final tengo servicios dockerizados, alguno que quisiera exponerlo al exterior, pero me da miedo dejarme agujeros.

Cita de WhatDa

Si securizarlo es importante y mirate lo que le decia a otro Shur, Radarr + Sonarr + Transmisión y bot de telegram y hasta le escribes bajate Torrente 5 y ahi va el sistema que la busca y te la baja, si os interesa esa codigo de pedirle pelis/series por telegram a radarr sonarr via ia local os lo puedo compartir también.

Cita de xyz0k

Si lo compartes te lo agradecería, cítame si finalmente decides escribir sobre ello.


Muy buena idea del honeypot con ollama. Tienes mis dieses!

Cita de WhatDa

Gracias Shur!
Qué buena idea lo de meter uno por subred en la LAN, para pillar movimiento lateral es de manual. Yo además lo tengo expuesto directamente a internet como experimento para ver qué le cae, y es una locura.
Te entiendo con lo de JS, pero en este caso tiene su porqué:
Por la IA y la asincronía. Integrar LLMs (tipo Ollama) en Node hace que el honeypot responda en tiempo real a los ataques sin quedarse colgado ni fundir la RAM que preguntaba antes un Shur. Y al usar pnpm, te quitas de un plumazo toda la basura de seguridad de npm.


Lo del escaneo de puertos está más o menos cubierto pero entiendo por donde vas y me lo anoto como mejora, lo que si hace ahora es devolver el scan de vuelta y hacer un fingerprint dando info de puertos abiertos, system, etc


Lo de samba también lo anoto, entiendo que simular Samba seria dificil, pero meter un cebo de login es muy viable.


Muchas gracias por tu feedback!

Cita de WhatDa

Gracias!
Ni tan mal Shur, si tienes una pi o mini pc metele pihole y algunas listas y veras que te quedas sin anuncios en inet y en muchas apps de mobil, crowsec es genial no hace falta mas tampoco para casa a no ser que tengas puertos abiertos y tal.

Cita de WhatDa

Si securizarlo es importante y mirate lo que le decia a otro Shur, Radarr + Sonarr + Transmisión y bot de telegram y hasta le escribes bajate Torrente 5 y ahi va el sistema que la busca y te la baja, si os interesa esa codigo de pedirle pelis/series por telegram a radarr sonarr via ia local os lo puedo compartir también.