主要观点：

• 部署 Falco 用于阻止利用免费 GPU 服务挖矿，虽演示成功但存在问题，是“安全跑步机”现象。
• 安全跑步机是因设计缺陷需不断打补丁来保持安全的软件，此案例中是因设计未将安全作为主要因素导致。
• 提出移除免费服务可避免安全跑步机，如对使用 GPU 收费，或限制应用权限等非技术解决方案。
• 很多应用有全互联网访问权限等假设导致难以实现安全沙箱，应摒弃旧思维，不再构建需不断打补丁的新工具和协议。

关键信息：

• 工具 Falco 借助 eBPF 在 Kubernetes 集群中运行，通过规则监测可疑系统调用检测挖矿行为。
• 安全跑步机是自我施加的，如该案例中不断更新 Falco 规则来捕捉新技巧。
• 可通过限制出站网络流量、限制应用权限等方式避免安全跑步机。
• 很多 legacy 应用难以沙箱化，但应停止构建需不断打补丁的新应用。

重要细节：

• 默认规则可通过监测sendto、sendmsg和connect系统调用来检测到常见矿池的出站网络连接。
• falcosidekick用于处理 Falco 警报并发送到 Kafka 集群等。
• 有人提出可对使用 GPU 收费来避免挖矿，移除免费服务的想法因未告知原因被放弃。
• 绕过互联网过滤器的方式多样，安全跑步机现象仍在继续，需不断更新规则。
• 如限制应用的网络访问、文件系统访问等权限可避免安全问题。