Güvenlik modelimiz tarayıcı önceliklidir: varsayılan yerel işleme, minimum veri saklama, sertleştirilmiş altyapı, kötüye kullanım korumaları ve net açıklama kanalları. Bu sayfa, bunun pratikte ne anlama geldiğini açıklar; böylece araçlarımıza koyduğunuz verilerle ne yaptığımızı — ve neyi yapmadığımızı — tam olarak bilirsiniz.
Çoğu araç verileri tamamen tarayıcınızda standart Web API'leriyle (Canvas, Crypto, WebAssembly, dosya sistemi) işler. Yapıştırdığınız, yazdığınız veya sürüklediğiniz içerik cihazınızdan çıkmaz ve sunucularımıza hiçbir zaman görünür olmaz.
Sunucu tarafı işleme gerektiren araçlar — yapay zekâ destekli Languages Polisher, Animation Studio veya Share Text gibi — için veri saklamayı işlevin gerçekten ihtiyaç duyduğu kadarla sınırlandırırız ve bu sınırları her araç bazında Gizlilik sayfamızda belgeleriz.
Reklam, üçüncü taraf takip pikselleri veya davranışsal profilleme kullanmıyoruz. Analitik (etkin olduğunda) toplulaştırılmıştır, kullanım dışı bırakmaya saygı duyar ve girdiğiniz içerikle asla ilişkilendirilmez.
Site, TLS 1.2+ üzerinden ve HSTS uygulanmış olarak Cloudflare Workers üzerinde çalışır. Hassas istek yolları, otomasyonu ve kötüye kullanımı caydırmak için Cloudflare Turnstile gerektirir.
Kalıcı veriler (bir araç buna ihtiyaç duyduğunda, Share Text parçaları veya iletişim formu gönderileri gibi) AB içindeki bölgesel Cloudflare KV / D1 örneklerinde saklanır. Geçici varlıklar (animasyon yüklemeleri, OG görselleri) otomatik yaşam döngüsü silmeli R2'de bulunur.
Sırlar — yapay zekâ sağlayıcıları için API anahtarları, Turnstile, JWT imzalama — yalnızca Cloudflare Worker secret olarak saklanır ve hiçbir zaman kaynak koda eklenmez. CI/CD dağıtımları imzalıdır ve GitHub Actions günlüklerinden denetlenebilir.
Uç noktada hız sınırlaması (Cloudflare yerel), gönderim uç noktalarında Turnstile doğrulamaları ve API'de sıkı bir CORS allowlist kullanırız. Anomali günlükleri, hizmet bütünlüğü için kısa süreli kayar pencere boyunca tutulur ve ardından silinir.
Sunucu tarafı hata günlükleri istek kimliklerini, durum kodlarını ve süreleri yakalar — kullanıcı içeriğini değil. Mesaj gövdelerini, form gönderilerini veya yapay zekâ promptlarını asla kaydetmeyiz.
Hesapsız tasarım, sızabilecek bir parola veritabanı olmadığı anlamına gelir. Kimlik doğrulama gerektiren az sayıdaki uç nokta, Turnstile doğrulamasından sonra verilen kısa ömürlü JWT'ler kullanır; uzun süreli oturum saklaması yoktur.
Bir güvenlik açığı keşfederseniz, lütfen info@aibrush.co adresine, yeniden üretme adımları, etkilenen URL veya uç nokta ve iletişim bilgilerinizle birlikte özel olarak bildirin. Bildirimleri 72 iş saati içinde onaylar ve yüksek önem dereceli sorunlar için 30 gün içinde düzeltme veya hafifletme sağlamayı hedefleriz.
İyi niyetli güvenlik araştırmasına karşı yasal işlem başlatmıyoruz. Lütfen diğer kullanıcıların erişilebilirliğini bozan otomatik taramalardan, sorunu göstermek için gerekli olanın ötesinde veri sızdırmaktan ve düzeltme yayınlanmadan önce ayrıntıların kamuya açıklanmasından kaçının.
Bildirimde bulunan kişi isterse, düzeltmeyi yayınladığımızda değişiklik günlüğümüzde katkısı belirtilir.