iToverDose/Software· 7 JULI 2026 · 12:04

Privater KI-Sicherheitscloud unter dem Schreibtisch: So funktioniert HazShield AI

Einzelne Mini-PCs reichen aus, um industrielle Sicherheitssysteme mit KI zu betreiben – ohne Cloud-Gebühren oder externe APIs. Wie HazShield AI in Echtzeit Alarme verarbeitet und dabei komplett lokal läuft, zeigt dieser detaillierte Projektbericht.

DEV Community4 min0 Kommentare

Ein Warnsignal ertönt um 3 Uhr morgens in einer Mahlanlage. Innerhalb von nur fünf Millisekunden erkennt das System eine gefährliche Methankonzentration am Sensor. Nach weiteren 45 Millisekunden leuchtet die Warnung rot auf der Kontrolltafel auf. Sekunden später präsentiert eine lokal gehostete KI einen präzisen Notfallplan: Förderband C4 wird abgeschaltet, die Belüftung wird über Schacht B umgeleitet, Zone 7 wird abgesperrt.

Ohne Cloud-Rechnung. Ohne externe KI-Schnittstelle. Und ohne offene Netzwerkports.

Das ist die Kernidee hinter HazShield AI, einem verteilten industriellen Sicherheitssystem, das vollständig auf einem einzigen Mini-PC unter einem Schreibtisch läuft. Das Projekt dokumentiert den Aufbau einer echten privaten Cloud – mit 28 GB RAM, gesichert durch Zero-Trust-Tunnel und optimiert für Echtzeit-Sicherheitsanalysen.

Die Architektur in einem Bild

HazShield simuliert ein vollständiges industrielles Sicherheitssystem mit Tausenden gleichzeitigen Sensordatensätzen zu Gas, Temperatur, Vibration, Luftstrom und seismischen Aktivitäten. Die Daten fließen in einen Rust-basierten Aufnahme-Gateway, werden in Echtzeit auf Grenzwertverletzungen geprüft und in einer spezialisierten Zeitreihendatenbank gespeichert. Bei Alarmen übernimmt ein lokales KI-Modell die Gefahrenanalyse und erstellt maßgeschneiderte Notfallpläne.

Das zentrale Konzept: Nicht alle Daten verdienen die gleiche Priorität. Jede eingehende Messung wird in eine von drei Datenbahnen geleitet:

  • 🔥 Heiße Bahn: Überträgt Grenzwertverletzungen. Garantiert sub-50-Millisekunden-Verarbeitungszeit. Bei Netzwerkproblemen speichert der Edge-Computer Alarme lokal und sendet sie nach Wiederherstellung der Verbindung nach. Ein Sicherheitssystem, das Alarme verliert, ist kein System.
  • 🌊 Warme Bahn: Transportiert Routinedaten, die in Blöcken in TimescaleDB gespeichert werden. Bei Überlastung wird die Sampling-Rate reduziert – die Grenzwertprüfung bleibt jedoch zu 100 % intakt.
  • 🧠 Kalte Bahn: Hier läuft die KI-Planung. Bei einem Alarm wird der Kontext (Sensor, Zone, benachbarte Systeme, aktuelle Betriebszustände) erfasst und einem quantisierten LLM (über Ollama) zur Analyse übergeben. Identische Gefahrenszenarien werden durch Hashes dedupliziert, um redundante Berechnungen zu vermeiden. Fünfzig verwandte Sensoralarme führen so zu einem einzigen Notfallplan – nicht zu fünfzig.

Diese Asymmetrie zwischen anpassungsfähigen und unverzichtbaren Komponenten prägt jede technische Entscheidung im gesamten Stack.

Der technische Stack im Detail

Die private Cloud basiert auf OpenStack (Kolla-Ansible) und läuft auf einem einzigen Mini-PC. Die Infrastruktur wird vollständig als Code verwaltet – mit Terraform und Ansible. Die Komponenten im Überblick:

  • Edge-Knoten: Öffentlicher Zugangspunkt und Datenaufnahme (Rust mit Axum und Tokio)
  • Zustands-Knoten: Zeitreihenspeicher (PostgreSQL 16 + TimescaleDB) und Echtzeit-Kommunikation (Redis Streams)
  • Berechnungs-Knoten: Lokale KI-Modelle (Ollama mit quantisierten Modellen)
  • Kontrollraum: React-basierte Webanwendung mit TypeScript und WebSockets

Der öffentliche Zugang erfolgt über einen Cloudflare Tunnel, der von einem lokalen Caddy-Server verwaltet wird. Die gesamte Kommunikation läuft über eine verschlüsselte, ausgehende Verbindung – ohne offene Ports am Router. Innerhalb der Cloud sorgen strikte Sicherheitsgruppen und ein mikrosegmentiertes Netzwerk für zusätzliche Absicherung.

Die Kunst, eine Cloud in einen Mini-PC zu zwängen

Private Clouds wie OpenStack sind für den Betrieb von Tausenden Hypervisoren konzipiert – und sie erwarten entsprechend umfangreiche Ressourcen. Bei der Standardinstallation startet OpenStack allein fünf API-Worker pro Dienst, selbst wenn nur ein einzelner Nutzer (in diesem Fall: der Entwickler) das System nutzt.

Nach sorgfältiger Analyse und Profiling der Container konnte die Anzahl der Worker auf einen pro Dienst reduziert werden. Gleichzeitig wurden unnötige Dienste deaktiviert – beispielsweise ersetzte Terraform die Heat-Komponente vollständig. Diese Optimierungen setzten über 4 GB RAM frei und verwandelten ein thrashendes System in ein reibungslos laufendes Cloud-Setup. Die entscheidenden Konfigurationszeilen:

enable_heat: "no"
openstack_service_workers: 1

Ein weiterer überraschender Fund betraf den Speicherplatz: Bei der Validierung der Kapazitätsberechnungen über die OpenStack-Placement-API zeigte der Hypervisor nur einen Bruchteil der tatsächlich verfügbaren SSD-Kapazität an. Die Ursache lag in der LVM-Konfiguration von Ubuntu Server. Standardmäßig blieben 828 GB ungenutzt – unsichtbar für alle darüber liegenden Schichten. Mit zwei einfachen Befehlen konnte das Volumen erweitert werden, ohne Downtime oder Neuinstallation:

sudo lvextend -l +100%FREE /dev/ubuntu-vg/ubuntu-lv
sudo resize2fs /dev/ubuntu-vg/ubuntu-lv

Für alle Ubuntu-Nutzer: Ein Blick auf die Volume-Gruppen lohnt sich. Möglicherweise verfügen Sie über mehr Speicher, als Ihnen bewusst ist.

Fünf öffentliche Domains – null offene Ports

Ein besonders beeindruckender Aspekt von HazShield AI ist die Netzwerkarchitektur: Das System stellt fünf öffentliche Hostnamen bereit – darunter eine Benutzeroberfläche für den Kontrollraum (app.…), eine API (api.…) und einen WebSocket-Stream für Live-Telemetrie (stream.…). Trotzdem führt der heimische Router keinen einzigen Port weiter.

Der Trick: Ein Cloudflare Tunnel stellt eine ausgehende Verbindung zu Cloudflare her und hält diese dauerhaft offen. Sämtlicher öffentlicher Datenverkehr wird über die Cloudflare-Edge (inklusive TLS) geleitet und über den Tunnel an einen lokalen Caddy-Server weitergegeben, der die Anfragen nach Hostname routet. Aus Sicht des Internets existiert das heimische Netzwerk nicht.

Der Vorteil: CORS-Policies, Sicherheitsheader und Größenlimits müssen nur an einer zentralen Stelle konfiguriert werden – statt in jedem Mikroservice einzeln. Selbst der Tunnel-Daemon läuft in einer abgesicherten systemd-Umgebung mit striktem Ressourcenlimit (MemoryMax=256M), ohne Privilegien und mit schreibgeschütztem Dateisystem. So bleibt die kritische Aufnahme-Pipeline vor Ressourcenkonflikten geschützt.

Ausblick: Sicherheit neu gedacht

HazShield AI beweist, dass hochperformante industrielle Sicherheitssysteme heute ohne Cloud-Dienste und externe KI-APIs auskommen können – und das auf Hardware, die unter einem Schreibtisch Platz findet. Die Kombination aus Rust-basierter Echtzeitverarbeitung, optimierter OpenStack-Installation und Zero-Trust-Netzwerkdesign setzt Maßstäbe für datenschutzkonforme KI-Anwendungen in sicherheitskritischen Umgebungen.

Das Projekt zeigt zudem, wie wichtig detailliertes Profiling und gezielte Optimierung sind, um komplexe Systeme auf begrenzter Hardware effizient zu betreiben. Mit jedem weiteren Algorithmus, jeder zusätzlichen Sensorkonfiguration und jedem neuen Notfallplan wächst die Komplexität – doch die Grundprinzipien der Architektur bleiben stabil: Echtzeit vor Komfort, Sicherheit vor Bequemlichkeit, und lokale Kontrolle über externe Abhängigkeiten.

KI-Zusammenfassung

Masaüstü bilgisayarınızın altında çalışan AI güvenlik sistemiyle endüstriyel tesis güvenliğini yerelleştirin. OpenStack, Rust, AI planlama ve sıfır açık port mimarisi hakkında detaylı rehber.

Kommentare

00
KOMMENTAR SCHREIBEN
ID #N8FD8P

0 / 1200 ZEICHEN

Menschen-Check

2 + 2 = ?

Erscheint nach redaktioneller Prüfung

Moderation · Spam-Schutz aktiv

Noch keine Kommentare. Sei der erste.