Me he montado un honeypot con IA en una Raspberry Pi y los hackers caen como moscas

Cita de Sixtolo

Mola mucho.

¿Cuánta RAM te consume?

Cita de WhatDa

Me alegro que te guste Shur!

HoneyAi con los 11 protocolos actuales solo consumen 32mb de ram, y Ollama unos 630mb.

Casi ni se nota piensa que en la Pi tengo muchas mas imagenes de docker corriendo:

Jellyfinn, Sonarr, Radarr, Transmision, Gitea, Pihole...

Y el honeypot ni se nota.

Cita de dos4gw

Es decir, hay un bot haciendo informes de bots atacando a bots. Seguramente los bots atacantes hagan informes tambien de sus ataques.

Cita de Sixtolo

Eso es poquísimo ¿lo ves corriendo en una Pi4 de 2GB?

Cita de WhatDa

Buenas


Pues eso, que llevo 12 años picando código y tengo una Raspberry Pi 5 expuesta a internet en mi casa. La tenía con 5 herramientas de ciberseguridad distintas (Cowrie, Endlessh, Galah, OpenCanary, Suricata…) y un día me harté de gestionar 5 configs, 5 logs y 5 crons distintos y dije: ¿y si junto todo en UNO SOLO y le meto IA para que las respuestas sean más reales?


Resultado:

HoneyAI — un honeypot open-source que simula 11 protocolos distintos con un LLM local (Ollama). Todo en un solo proceso de Node.js.


¿Qué coño es un honeypot?


Básicamente un servidor trampa que se hace pasar por uno real. Los hackers entran pensando que es un servidor de verdad y el sistema les graba todo lo que hacen, les roba tiempo y reporta sus IPs automáticamente a 5 bases de datos de amenazas.


¿Qué hace exactamente?

• Si un ruso intenta hacer SQLi → le devuelve un dump de BBDD FALSO con credenciales trampa (canary tokens)
• Si entra por SSH → le da un bash interactivo falso con archivos señuelo (claves AWS falsas, wallets crypto falsas, etc)
• Si escanea rutas tipo /wp-login, /.env, /.git → lo mete en un tarpit que lo atrapa ~30 segundos por request
• Si prueba FTP, Telnet, MySQL, Redis, VNC, RDP, Git → TODO falso, TODO generado por IA
• Reporta automáticamente a AbuseIPDB, OTX, DShield, Blocklist.de y VirusTotal

La IA es la clave: no son respuestas estáticas como los honeypots clásicos. El LLM lee el payload del atacante y genera una respuesta creíble. El filtro de identidad bloquea cualquier mención a "honeypot", "AI", "simulation" en 8 idiomas para que no se delate.


La parte que más mola: cada noche, otro pipeline automático recopila todos los ataques del día, los analiza con otro LLM, genera un informe de amenazas y LO PUBLICA SOLO en un blog:


https://honey-ai.dev


Lleva desde mayo publicando informes diarios sin tocar nada. Datos reales de ataques reales a mi Pi.


Plot twist: el proyecto entero está hecho con vibe coding. Llevo 12 años programando pero esto lo he generado con IA bajo mi supervisión. Desde el honeypot, hasta el blog, los pipelines, el CI, los 98 tests… todo. Y está en producción 24/7 recibiendo ataques reales.


Specs:

• Node.js + Ollama (LLM local, sin enviar nada a la nube)
• Corre en una Raspberry Pi 5 (o cualquier VPS de 5€)
• Docker: docker compose up -d y ya
• 98 tests pasando
• AGPL-3.0 (open-source total)

Repo: https://github.com/martidu4/honey-ai
Blog en vivo: https://honey-ai.dev


Si alguien quiere contribuir, hay issues abiertas para nuevos protocolos (DNS, SNMP, SIP), mejoras del dashboard, etc.
Y si algún forero tiene un VPS/Pi tirado por ahí y lo quiere montar, en 5 minutos lo tiene corriendo.


Ale, ¿preguntas? ¿hate? ¿sugerencias?

Cita de Babu Bhatt

Porqué te atacan tanto los rusos? Yo tengo una pi4 en la cocina, la uso para ver Netflix comiendo y ya, debería preocuparme?

Cita de SSAP

Interesante aunque no haya entendido la mitad de los palabros...

Me da a reflexionar que los hackers siempre son rusos como los malos en las películas de los 90 rollo jungla de cristal...

Cita de SrTazs

Mis diez shur. Una vez probé ante el miedo de hackers por los puertos 443, adguard y crawdsec

Cita de Tilux

Interesante, yo tengo un server con plex y transmission, ahora me gustaría montarme bien un nextcloud lo mas seguro posible.

Y creo que aprender de esto no estaría mal.

Cita de WhatDa

Buenas


Pues eso, que llevo 12 años picando código y tengo una Raspberry Pi 5 expuesta a internet en mi casa. La tenía con 5 herramientas de ciberseguridad distintas (Cowrie, Endlessh, Galah, OpenCanary, Suricata…) y un día me harté de gestionar 5 configs, 5 logs y 5 crons distintos y dije: ¿y si junto todo en UNO SOLO y le meto IA para que las respuestas sean más reales?


Resultado:

HoneyAI — un honeypot open-source que simula 11 protocolos distintos con un LLM local (Ollama). Todo en un solo proceso de Node.js.


¿Qué coño es un honeypot?


Básicamente un servidor trampa que se hace pasar por uno real. Los hackers entran pensando que es un servidor de verdad y el sistema les graba todo lo que hacen, les roba tiempo y reporta sus IPs automáticamente a 5 bases de datos de amenazas.


¿Qué hace exactamente?

• Si un ruso intenta hacer SQLi → le devuelve un dump de BBDD FALSO con credenciales trampa (canary tokens)
• Si entra por SSH → le da un bash interactivo falso con archivos señuelo (claves AWS falsas, wallets crypto falsas, etc)
• Si escanea rutas tipo /wp-login, /.env, /.git → lo mete en un tarpit que lo atrapa ~30 segundos por request
• Si prueba FTP, Telnet, MySQL, Redis, VNC, RDP, Git → TODO falso, TODO generado por IA
• Reporta automáticamente a AbuseIPDB, OTX, DShield, Blocklist.de y VirusTotal

La IA es la clave: no son respuestas estáticas como los honeypots clásicos. El LLM lee el payload del atacante y genera una respuesta creíble. El filtro de identidad bloquea cualquier mención a "honeypot", "AI", "simulation" en 8 idiomas para que no se delate.


La parte que más mola: cada noche, otro pipeline automático recopila todos los ataques del día, los analiza con otro LLM, genera un informe de amenazas y LO PUBLICA SOLO en un blog:


https://honey-ai.dev


Lleva desde mayo publicando informes diarios sin tocar nada. Datos reales de ataques reales a mi Pi.


Plot twist: el proyecto entero está hecho con vibe coding. Llevo 12 años programando pero esto lo he generado con IA bajo mi supervisión. Desde el honeypot, hasta el blog, los pipelines, el CI, los 98 tests… todo. Y está en producción 24/7 recibiendo ataques reales.


Specs:

• Node.js + Ollama (LLM local, sin enviar nada a la nube)
• Corre en una Raspberry Pi 5 (o cualquier VPS de 5€)
• Docker: docker compose up -d y ya
• 98 tests pasando
• AGPL-3.0 (open-source total)

Repo: https://github.com/martidu4/honey-ai
Blog en vivo: https://honey-ai.dev


Si alguien quiere contribuir, hay issues abiertas para nuevos protocolos (DNS, SNMP, SIP), mejoras del dashboard, etc.
Y si algún forero tiene un VPS/Pi tirado por ahí y lo quiere montar, en 5 minutos lo tiene corriendo.


Ale, ¿preguntas? ¿hate? ¿sugerencias?

Cita de eThor

mola! Tengo un miniPC usando de server..crees seguro tener todas esas trampas en un docker? O sería mejor una sola máquina física para ello?