Sikkerhetsmodellen vår setter nettleseren først: lokal behandling som standard, minimal lagring, herdet infrastruktur, beskyttelse mot misbruk og tydelige kanaler for varsling. Denne siden forklarer hva det betyr i praksis, slik at du vet nøyaktig hva vi gjør — og ikke gjør — med dataene du legger inn i verktøyene våre.
De fleste verktøyene behandler data fullstendig i nettleseren din ved hjelp av standard Web API-er (Canvas, Crypto, WebAssembly, filsystem). Innholdet du limer inn, skriver eller drar inn forlater aldri enheten din og er aldri synlig for serverne våre.
For verktøy som krever behandling på serveren — som det AI-drevne Languages Polisher, Animation Studio eller Share Text — begrenser vi datalagring til det funksjonen virkelig trenger, og dokumenterer grensene per verktøy på personvernsiden.
Vi viser ikke annonser, bruker ikke tredjeparts sporingspiksler og driver ikke atferdsprofilering. Analyse (når aktivert) er aggregert, respekterer opt-out og kobles aldri til innholdet i innspillet ditt.
Siden kjører på Cloudflare Workers, trafikken betjenes over TLS 1.2+ og HSTS er håndhevet. Sensitive forespørselsbaner krever Cloudflare Turnstile for å motvirke automatisering og misbruk.
Vedvarende data (når et verktøy trenger det, som Share Text-utdrag eller innsendinger fra kontaktskjemaet) lagres i regionale Cloudflare KV / D1-instanser innenfor EU. Forbigående ressurser (animasjons-opplastinger, OG-bilder) ligger i R2 med automatisk sletting i livssyklus.
Hemmeligheter — API-nøkler for AI-leverandører, Turnstile, JWT-signering — lagres kun som Cloudflare Worker-hemmeligheter og legges aldri inn i kildekoden. CI/CD-utrullinger er signert og kan revideres via GitHub Actions-logger.
Vi bruker hastighetsbegrensning i kanten (Cloudflare-native), Turnstile-utfordringer på innsendingsendepunkter og en streng CORS-tillattliste på API-et. Avvikslogger bevares for tjenestens integritet i et kort rullende vindu, og forkastes deretter.
Serverside feillogger fanger forespørsels-ID-er, statuskoder og tidspunkter — ikke brukerinnhold. Vi logger aldri meldingsinnhold, skjemainnsendinger eller AI-spørringer.
Det kontoløse designet betyr at det ikke finnes noen passorddatabase som kan lekke. De få endepunktene som krever autentisering bruker korte JWT-er utstedt etter Turnstile-verifisering, uten langvarig øktslagring.
Hvis du oppdager en sårbarhet, vennligst rapporter den konfidensielt til info@aibrush.co med reproduksjonstrinn, berørt URL eller endepunkt og kontaktdetaljene dine. Vi bekrefter rapporter innen 72 arbeidstimer og sikter på en løsning eller demping innen 30 dager for problemer med høy alvorlighetsgrad.
Vi tar ikke rettslige skritt mot sikkerhetsforskning i god tro. Vennligst unngå automatiske skanninger som forstyrrer tilgjengeligheten for andre brukere, dataeksfiltrering utover det som er nødvendig for å demonstrere problemet, og offentlig avsløring av detaljer før vi har levert en løsning.
Hvis melderen ønsker det, anerkjenner vi bidraget i endringsloggen vår når løsningen rulles ut.