Vores sikkerhedsmodel sætter browseren først: lokal behandling som standard, minimal opbevaring, hærdet infrastruktur, beskyttelse mod misbrug og klare kanaler til indberetning. Denne side forklarer, hvad det betyder i praksis, så du ved præcis, hvad vi gør — og ikke gør — med de data, du lægger ind i vores værktøjer.
De fleste værktøjer behandler data fuldt ud i din browser ved hjælp af standard Web-API'er (Canvas, Crypto, WebAssembly, filsystem). Det indhold, du indsætter, skriver eller slipper, forlader ikke din enhed og er aldrig synligt for vores servere.
For værktøjer, der kræver behandling på serveren — som det AI-drevne Languages Polisher, Animation Studio eller Share Text — begrænser vi dataopbevaringen til det, funktionen reelt har brug for, og dokumenterer disse grænser på vores privatlivsside pr. værktøj.
Vi viser ingen reklamer, bruger ingen tracking-pixels fra tredjeparter og laver ingen adfærdsmæssig profilering. Statistik (når aktiveret) er aggregeret, respekterer opt-out og kædes aldrig sammen med indholdet i din input.
Sitet kører på Cloudflare Workers, trafikken serveres over TLS 1.2+ og HSTS håndhæves. Følsomme anmodningsstier kræver Cloudflare Turnstile for at modvirke automatisering og misbrug.
Persistent data (når et værktøj kræver det, som Share Text-uddrag eller indsendelser fra kontaktformularen) opbevares i regionale Cloudflare KV / D1-instanser i EU. Midlertidige aktiver (animation-uploads, OG-billeder) ligger i R2 med automatisk livscyklus-sletning.
Hemmeligheder — API-nøgler til AI-leverandører, Turnstile, JWT-signering — opbevares kun som Cloudflare Worker-secrets og kommer aldrig i kildekoden. CI/CD-deployments er signerede og kan revideres via GitHub Actions-logfiler.
Vi bruger hastighedsbegrænsning ved kanten (Cloudflare-native), Turnstile-udfordringer på indsendelses-endpoints og en streng CORS-allowlist på API'et. Anomalilogs gemmes for tjenestens integritet i en kort rullende vindue og kasseres derefter.
Server-side fejllogs registrerer anmodnings-ID'er, statuskoder og timing — ikke brugerindhold. Vi logger aldrig beskedindhold, formularindsendelser eller AI-prompter.
Det kontoløse design betyder, at der ikke er nogen kodeorddatabase, som kan lække. De få endpoints, der kræver autentificering, bruger kortlivede JWT'er udstedt efter Turnstile-verifikation, uden langtidsopbevaring af sessioner.
Hvis du opdager en sårbarhed, så rapportér den fortroligt til info@aibrush.co med reproduktionstrin, berørt URL eller endpoint og dine kontaktoplysninger. Vi bekræfter rapporter inden for 72 arbejdstimer og sigter på en rettelse eller mitigering inden for 30 dage for problemer med høj alvorsgrad.
Vi rejser ikke retslige skridt mod sikkerhedsforskning udført i god tro. Undgå venligst automatiserede scanninger, der forstyrrer tilgængeligheden for andre brugere, dataeksfiltrering ud over hvad der er nødvendigt for at demonstrere problemet, og offentliggørelse af detaljer, før vi har leveret en rettelse.
Hvis rapportøren ønsker det, anerkender vi bidraget i vores ændringslog, når rettelsen frigives.