当社のセキュリティモデルはブラウザ優先です。既定でローカル処理、最小限のデータ保持、堅牢化された基盤、悪用対策、明確な開示チャネルを採用しています。本ページでは、これらが実際に何を意味するかを説明し、ツールに渡したデータを当社が何にどう使うか、そして何に使わないかを正確に把握できるようにします。
ほとんどのツールは標準的な Web API(Canvas、Crypto、WebAssembly、ファイルシステム)を用いてブラウザ内で完全にデータを処理します。貼り付け、入力、ドロップした内容はあなたの端末を離れず、当社のサーバーからは見えません。
AI を用いた Languages Polisher、Animation Studio、Share Text のようにサーバー側処理が必要なツールでは、データ保持を機能が本当に必要とする範囲に限定し、その境界をプライバシーページにツールごとに記載しています。
広告、サードパーティのトラッキングピクセル、行動プロファイリングは行いません。アナリティクス(有効時)は集計化され、オプトアウトを尊重し、あなたの入力内容と紐付けることはありません。
サイトは Cloudflare Workers 上で動作し、トラフィックは TLS 1.2+ で配信され、HSTS が強制されます。機微なリクエストパスでは、自動化や悪用を抑止するために Cloudflare Turnstile を必須としています。
永続データ(Share Text のスニペットや問い合わせフォーム送信など、ツールが必要とする場合)は、EU 域内のリージョナルな Cloudflare KV / D1 インスタンスに保存します。一時的なアセット(アニメーションのアップロード、OG 画像)は R2 にあり、ライフサイクル削除が自動で行われます。
シークレット(AI プロバイダーの API キー、Turnstile、JWT 署名)は Cloudflare Worker シークレットとしてのみ保管し、ソースには決して含めません。CI/CD のデプロイは署名され、GitHub Actions のログから監査可能です。
エッジでのレート制限(Cloudflare ネイティブ)、送信エンドポイントでの Turnstile チャレンジ、API での厳格な CORS 許可リストを用いています。異常ログはサービス健全性のため短いローリングウィンドウで保持し、その後破棄します。
サーバー側のエラーログにはリクエスト ID、ステータスコード、所要時間を記録します。ユーザーの内容は記録しません。メッセージ本文、フォーム送信、AI プロンプトは決してログに残しません。
アカウント不要設計のため、流出しうるパスワードデータベースはありません。認証が必要な数少ないエンドポイントでは、Turnstile 検証後に発行された短命の JWT を使用し、長期的なセッションは保持しません。
脆弱性を発見した場合は、再現手順、影響のある URL またはエンドポイント、ご連絡先を添えて info@aibrush.co まで非公開にご報告ください。報告は 72 営業時間以内に受領を確認し、重大度の高い問題については 30 日以内に修正または緩和を出すことを目標としています。
善意のセキュリティリサーチに対して法的措置を取ることはありません。他のユーザーの可用性を損なう自動スキャン、問題の実証に必要な範囲を超えるデータの持ち出し、修正がリリースされる前の詳細の公開はお控えください。
報告者がご希望の場合は、修正リリース時にチェンジログでその貢献に謝辞を添えます。