Soixante conteneurs sur un seul serveur
Une seule machine bare-metal fait tourner des dizaines à des centaines de conteneurs Hoody. La déduplication KSM et BTRFS rend le coût marginal quasi nul.
Chaque dimanche à 7h, une entrée hoody-cron réveille un hoody-agent dans un conteneur frais. Le prompt de l'agent : se comporter comme un utilisateur malveillant. Il sonde les formulaires de login, fuzz l'API, teste le rate limiter — contre un snapshot de prod, jamais la prod elle-même. À 9h, il écrit un rapport de findings sur une URL.
chaque ligne de ce rapport est un finding réaliste d'un run dominical · cliquez pour étendre
Trois appels HTTP en séquence. L'entrée cron déclenche un snapshot de prod, un conteneur agent est lancé contre le snapshot avec un prompt d'attaque, et le rapport est PUT vers une URL quand l'agent sort. Pas d'infrastructure long-running entre deux dimanches.
Les trois pièces — Cron, Conteneur Snapshots, le service Agent — existent déjà dans le Kit. Les câbler ensemble, c'est un script shell. Il n'y a pas de plateforme canari à installer.
Deux heures, du début à la fin. L'agent lit son propre prompt comme un runbook. Chaque finding est documenté avec des étapes de reproduction pour que l'ingénieur qui le lit lundi puisse vérifier en moins d'une minute.
Le cron se déclenche. Le script runner POST sur l'endpoint snapshots puis sur le service agent. Un alias canary-2026-05-03 est créé.
L'agent ouvre hoody-browser contre l'URL du snapshot. Il énumère les routes depuis la spec OpenAPI et les liens de la homepage, en construisant une carte de la surface.
OWASP top 20 dans l'ordre : SQLi, XSS, IDOR, SSRF, race conditions, contournement de rate-limit. Avant chaque requête risquée, l'agent prend un sub-snapshot pour qu'un payload destructeur ne puisse pas empoisonner les tests suivants.
Chaque réponse non-erreur reçoit une sévérité, une recette de reproduction, et un fix suggéré. Les findings que l'agent peut vérifier lui-même avec une deuxième requête reçoivent un score de confiance.
Rapport PUT vers /canary/last-sunday.html. Conteneur détruit. Cron sort en 0. La prochaine entrée ne se déclenchera pas avant sept jours.
Deux heures de dimanche matin produisent un rapport statique que votre équipe peut lire avec un café. Pas de dashboard où se logger et pas d'agent à surveiller pendant qu'il bosse.
Un pen-tester ne peut pas lâcher un agent sur la production. Avec Conteneur Snapshots, l'agent a un clone exact à casser — et le système live ne le sent jamais.
Le snapshot que l'agent attaque est un clone copy-on-write du filesystem et de la config de prod. Un exploit réussi modifie le clone, pas le conteneur live. Quand l'agent se retire, le clone se retire avec lui.
Le snapshot est conservé trente jours. Les étapes de reproduction du rapport pointent vers une URL de snapshot, donc un ingénieur peut rejouer n'importe quel payload le lundi contre l'état exact que l'agent a vu le dimanche.
Quand l'agent soumet mille payloads poubelle, ils finissent dans une base qui sera jetée. Pas de ticket de support sur un utilisateur fantôme, pas de vrai remboursement crédité par accident, pas d'audit log rempli des expériences de l'agent.
La réponse standard à 'on devrait pen-tester l'app' est une mission annuelle à $40,000 qui couvre deux semaines du calendrier de quelqu'un d'autre. Le canari tourne chaque dimanche sur le serveur Hoody à tarif fixe que vous louez déjà — cron est le trigger, pas l'unité de facturation.
Deux fenêtres de deux semaines d'une firme de pen-test externe qui cadre, scanne et écrit un PDF que vous lisez une fois. Findings vieux de six mois quand le contrat suivant démarre.
Une entrée Hoody Cron managée. Un petit script shell. Le snapshot vit trente jours. Le conteneur existe deux heures. Pas de firme à embaucher et pas de calendrier à coordonner.
Cadrage de coût. Le chiffre $40k est une mission de pen-test mid-market typique, pas un devis Hoody. Le canari tourne sur le serveur à tarif fixe que vous payez déjà ; le coût du serveur est le même que l'agent tourne deux heures ou vingt. Les appels LLM de l'agent passent par le Hoody AI Gateway (coût provider + 5% de marge, pris sur l'AI Balance) ou votre propre clé provider (chemin BYO, le provider facture séparément). Deux balances, cloisonnés : le General Balance finance le serveur ; l'AI Balance finance le gateway. Un agent qui s'emballe ne peut pas drainer votre budget infrastructure.
Chaque dimanche matin, un agent gagne sa croûte en essayant de casser ce que vous avez codé.
Les outils standard quand vous voulez une pression adversariale continue sur votre propre produit. Chacun vous facture un contrat, un siège plateforme, ou un marketplace de bug-bounty. Le canari tourne sur le serveur Hoody à tarif fixe que vous payez déjà ; la ligne cron est de la configuration, pas une unité de facturation.
Câblez le cron, pointez-le vers un snapshot, donnez à l'agent son prompt — et lisez les findings le lundi avec votre café.