저희 보안 모델은 브라우저 우선입니다. 기본적으로 로컬 처리, 최소 보관, 강화된 인프라, 악용 방지, 명확한 공개 채널을 운영합니다. 이 페이지는 그 의미를 실제로 어떻게 다루는지 설명해 도구에 넣은 데이터로 저희가 무엇을 하고, 무엇을 하지 않는지 정확히 알 수 있게 합니다.
대부분의 도구는 표준 Web API(Canvas, Crypto, WebAssembly, 파일 시스템)를 사용해 브라우저 내에서 데이터를 완전히 처리합니다. 붙여넣고, 입력하고, 드롭한 내용은 기기를 떠나지 않으며 저희 서버에서 절대 볼 수 없습니다.
AI 기반 Languages Polisher, Animation Studio 또는 Share Text처럼 서버 측 처리가 필요한 도구에 대해서는 데이터 보관을 기능이 실제로 필요로 하는 범위로 제한하고, 그 경계를 개인정보 페이지에 도구 단위로 기록합니다.
광고, 제3자 추적 픽셀, 행동 프로파일링을 운영하지 않습니다. 분석(활성화된 경우)은 집계 형태이며 옵트아웃을 존중하고 입력 내용과 절대 연결되지 않습니다.
사이트는 Cloudflare Workers에서 실행되며 트래픽은 TLS 1.2+로 제공되고 HSTS가 강제 적용됩니다. 민감한 요청 경로는 자동화 및 악용을 억제하기 위해 Cloudflare Turnstile을 요구합니다.
영속 데이터(Share Text 스니펫이나 문의 폼 제출처럼 도구가 필요로 할 때)는 EU 내 지역 Cloudflare KV / D1 인스턴스에 저장됩니다. 임시 자산(애니메이션 업로드, OG 이미지)은 자동 라이프사이클 삭제와 함께 R2에 저장됩니다.
비밀(AI 제공자 API 키, Turnstile, JWT 서명)은 Cloudflare Worker 시크릿으로만 저장하며 소스 코드에 포함하지 않습니다. CI/CD 배포는 서명되어 있으며 GitHub Actions 로그로 감사할 수 있습니다.
에지에서의 속도 제한(Cloudflare 네이티브), 제출 엔드포인트의 Turnstile 챌린지, API에 대한 엄격한 CORS 허용 목록을 사용합니다. 이상 로그는 서비스 무결성을 위해 짧은 롤링 윈도우 동안 보관되었다가 폐기됩니다.
서버 측 오류 로그는 요청 ID, 상태 코드, 타이밍을 기록할 뿐 사용자 콘텐츠는 기록하지 않습니다. 메시지 본문, 폼 제출, AI 프롬프트는 절대 로그에 남기지 않습니다.
계정이 없는 설계라 유출될 비밀번호 데이터베이스가 없습니다. 인증이 필요한 일부 엔드포인트는 Turnstile 확인 후 발급된 단명 JWT를 사용하며, 장기 세션을 저장하지 않습니다.
취약점을 발견하셨다면 재현 단계, 영향을 받는 URL 또는 엔드포인트, 연락처와 함께 info@aibrush.co로 비공개로 알려 주세요. 보고는 72 업무 시간 이내에 접수를 확인하며 심각도 높은 문제에 대해서는 30일 이내에 수정 또는 완화 조치를 출시하는 것을 목표로 합니다.
선의의 보안 연구에는 법적 조치를 취하지 않습니다. 다른 이용자의 가용성을 해치는 자동 스캔, 문제 입증에 필요한 범위를 넘는 데이터 유출, 수정이 출시되기 전 세부 사항의 공개는 자제해 주세요.
제보자께서 원하실 경우 수정 출시 시 변경 로그에 기여를 명기합니다.