# ความปลอดภัยใน AiBrush Helpers

> แบบจำลองความปลอดภัยของเราเน้นเบราว์เซอร์เป็นหลัก: ประมวลผลภายในเครื่องโดยค่าเริ่มต้น เก็บข้อมูลน้อยที่สุด โครงสร้างพื้นฐานที่เสริมความแข็งแกร่ง การป้องกันการใช้งานในทางที่ผิด และช่องทางเปิดเผยที่ชัดเจน หน้านี้อธิบายว่าสิ่งเหล่านั้นหมายความว่าอย่างไรในทางปฏิบัติ เพื่อให้คุณทราบแน่ชัดว่าเราทำอะไร — และไม่ทำอะไร — กับข้อมูลที่คุณใส่ลงในเครื่องมือของเรา

Canonical: https://helpers.aibrush.co/th/security

## ความเป็นส่วนตัวโดยค่าเริ่มต้น

เครื่องมือส่วนใหญ่ประมวลผลข้อมูลทั้งหมดในเบราว์เซอร์ของคุณโดยใช้ Web API มาตรฐาน (Canvas, Crypto, WebAssembly, ระบบไฟล์) เนื้อหาที่คุณวาง พิมพ์ หรือวางลงไปจะไม่ออกจากอุปกรณ์ของคุณและไม่มีให้เซิร์ฟเวอร์ของเราเห็นได้

สำหรับเครื่องมือที่ต้องประมวลผลฝั่งเซิร์ฟเวอร์ — เช่น Languages Polisher ที่ขับเคลื่อนด้วย AI, Animation Studio หรือ Share Text — เราจำกัดการเก็บข้อมูลไว้เท่าที่ฟีเจอร์จำเป็นจริง ๆ และบันทึกขอบเขตเหล่านั้นในหน้าเรื่องความเป็นส่วนตัวเป็นรายเครื่องมือ

เราไม่ใช้โฆษณา พิกเซลติดตามของบุคคลที่สาม หรือการสร้างโปรไฟล์เชิงพฤติกรรม การวิเคราะห์ (เมื่อเปิดใช้งาน) เป็นข้อมูลแบบรวม เคารพการเลือกไม่เข้าร่วม และจะไม่ผูกกับเนื้อหาที่คุณป้อน

## โครงสร้างพื้นฐานและโฮสติ้ง

เว็บไซต์ทำงานบน Cloudflare Workers ทราฟฟิกถูกส่งผ่าน TLS 1.2+ พร้อมบังคับใช้ HSTS เส้นทางคำขอที่ละเอียดอ่อนต้องใช้ Cloudflare Turnstile เพื่อยับยั้งการทำงานอัตโนมัติและการใช้ในทางที่ผิด

ข้อมูลถาวร (เมื่อเครื่องมือต้องการ เช่น สนิปเป็ตของ Share Text หรือการส่งแบบฟอร์มติดต่อ) ถูกเก็บไว้ใน Cloudflare KV / D1 อินสแตนซ์ระดับภูมิภาคในเขต EU ทรัพยากรชั่วคราว (การอัปโหลด animation, ภาพ OG) อยู่ใน R2 พร้อมการลบอัตโนมัติตามวงจรชีวิต

ความลับ — คีย์ API ของผู้ให้บริการ AI, Turnstile, การลงนาม JWT — ถูกเก็บไว้เฉพาะในรูปแบบ Cloudflare Worker secret และไม่เคยถูกฝังในซอร์สโค้ด การปรับใช้ CI/CD ถูกลงนามและสามารถตรวจสอบได้ผ่านบันทึก GitHub Actions

## การป้องกันและการตรวจสอบ

เราใช้การจำกัดอัตราที่ขอบ (Cloudflare native), การท้าทาย Turnstile บนเอนด์พอยต์ส่งข้อมูล และรายชื่ออนุญาต CORS ที่เข้มงวดบน API บันทึกความผิดปกติจะถูกเก็บไว้เพื่อความสมบูรณ์ของบริการในช่วงเวลาแบบหน้าต่างกลิ้งที่สั้น แล้วจึงถูกลบ

บันทึกข้อผิดพลาดฝั่งเซิร์ฟเวอร์บันทึกรหัสคำขอ รหัสสถานะ และเวลา — ไม่ใช่เนื้อหาของผู้ใช้ เราไม่บันทึกเนื้อหาข้อความ การส่งแบบฟอร์ม หรือ prompt ของ AI

การออกแบบโดยไม่ต้องมีบัญชีหมายความว่าไม่มีฐานข้อมูลรหัสผ่านที่อาจหลุดออกไป เอนด์พอยต์ไม่กี่จุดที่ต้องมีการยืนยันตัวตนใช้ JWT อายุสั้นที่ออกหลังการตรวจสอบ Turnstile โดยไม่มีการเก็บเซสชันระยะยาว

## การเปิดเผยช่องโหว่

หากคุณพบช่องโหว่ โปรดรายงานเป็นการส่วนตัวมาที่ info@aibrush.co พร้อมขั้นตอนการทำซ้ำ URL หรือเอนด์พอยต์ที่ได้รับผลกระทบ และรายละเอียดการติดต่อของคุณ เรายืนยันรายงานภายใน 72 ชั่วโมงทำการและตั้งเป้าให้มีการแก้ไขหรือการบรรเทาภายใน 30 วันสำหรับปัญหาที่มีความรุนแรงสูง

เราไม่ดำเนินคดีกับการวิจัยด้านความปลอดภัยด้วยเจตนาสุจริต โปรดหลีกเลี่ยงการสแกนอัตโนมัติที่กระทบความพร้อมใช้งานสำหรับผู้ใช้รายอื่น การนำข้อมูลออกเกินกว่าที่จำเป็นต่อการแสดงปัญหา และการเปิดเผยรายละเอียดต่อสาธารณะก่อนที่เราจะปล่อยการแก้ไข

หากผู้รายงานต้องการ เราจะระบุชื่อในบันทึกการเปลี่ยนแปลงของเราเมื่อมีการปล่อยการแก้ไข