diff --git a/infra/crowdsec-safeline.md b/infra/crowdsec-safeline.md
index cb63213..bfe99e2 100644
--- a/infra/crowdsec-safeline.md
+++ b/infra/crowdsec-safeline.md
@@ -108,7 +108,14 @@ CREATE TRIGGER trg_detect_log
   FOR EACH ROW EXECUTE FUNCTION notify_detect_log();
 ```
 
-### ddos-detect (AI 행위 분석)
+### ~~ddos-detect (AI 행위 분석)~~ — 폐기 (2026-04-08)
+
+> [!warning] 폐기됨
+> 2026-04-08 분석기 서비스 정지 + 삭제. "이 방식으로는 안 될 것 같다"는 판단 (60초 폴링 + Claude CLI 동기 호출 구조의 한계). 새로운 AI 분석 아키텍처는 [[victorialogs|VictoriaLogs]] 기반으로 재설계 예정.
+>
+> **제거된 항목**: `ddos-detect.service` (systemd), `/var/lib/log-collector/ddos-detect/` Go 바이너리 + 소스, `ddos-detect.sh`, `extract_behavior.py`, `ddos-logs/` (분석 결과 markdown). `requests.db`는 별개의 `log-collector` 데몬이 사용 중이라 보존. Gitea repo `kaffa/ddos-detect`는 보존 (코드 reference).
+
+이전 동작 (참고):
 
 | 항목 | 값 |
 |------|-----|