Token Forest セキュリティポリシー
最終更新 2026-07-08
発行者:Poietic Studio
本ページは英語版《セキュリティポリシー》の日本語訳です。相違がある場合は英語版が優先します。リーダーボードの記録削除などプライバシーに関する要望は《プライバシー通知》ページをご覧ください。
Token Forest は Poietic Studio が提供するプロプライエタリ(非公開ソース)のデスクトップアプリです。当社は、そのセキュリティおよびプライバシーの挙動に関する報告を真剣に受け止めます——とりわけ、公開している《プライバシー通知》と矛盾する事項を重視します。
サポート対象バージョン
リリースノートに別段の記載がない限り、セキュリティ修正を受けられるのは最新の公開リリースのみです。それより古いリリースや開発版スナップショットはサポート対象外です——アップグレードしてください。
脆弱性の報告
脆弱性の疑いは非公開で報告してください:
- ✦推奨:GitHub の非公開脆弱性報告——https://github.com/Ericcccccc777/Poietic-TokenForest/security
- ✦メール:security@tokenforest.com.au(最初の公開リリース前に有効化されるメールボックス)
未修正の脆弱性について公開 issue を開かないでください。通常のバグや機能要望は公開の issue トラッカーで歓迎します。
報告には次を含めないでください:あなたの Claude/Codex ログ、プロンプトや会話内容、ソースコード、access/refresh トークン、他のユーザーのリーダーボードデータ。証跡が必要な場合は、最小限かつ非公開の共有方法を当社が用意します。
報告に含める内容
- ✦Token Forest のバージョンと正確なダウンロードファイル名(可能であれば SHA-256 も);
- ✦オペレーティングシステムとアーキテクチャ;
- ✦明確な影響の説明と、再現手順または概念実証(PoC);
- ✦報告時点でリーダーボードがオフ・一時停止・オンのいずれであったか;
- ✦その問題が他の場所で公開されているかどうか;
- ✦どのようにクレジットされたいか(または匿名希望か)。
対象範囲
- ✦ローカルログ、プロンプト、会話内容、ソースコードファイルのあらゆるアップロード;
- ✦リーダーボードがオフの間のあらゆるネットワークリクエスト(アプリはゼロを約束しています);
- ✦同意ダイアログ/《プライバシー通知》と実際に送信される内容との不一致;
- ✦リーダーボードの認証または行レベルセキュリティの回避(他のユーザーの記録の閲覧・改変);
- ✦access/refresh トークンの露出;
- ✦OS のユーザー境界を越えて読み取れるローカルストレージ;
- ✦任意コード実行、安全でないアーカイブ/更新の処理、DLL またはライブラリのハイジャック;
- ✦公式ダウンロード、チェックサム、署名の改ざん;
- ✦公表しているリーダーボード削除フローの不具合。
ご自身のアカウントとテストデータのみを使用し、問題が実証できた時点で中止してください。
対象外(通常)
- ✦UI・アニメーション・レイアウトのバグ;機能要望;
- ✦当社が文書化した指標の定義で説明できるトークン数の差異;
- ✦署名/ハッシュ自体は有効であるのに、新しいファイルが「あまりダウンロードされていない」と SmartScreen が警告すること;
- ✦ユーザーの OS アカウントを事前に完全に掌握していることを必要とする問題;
- ✦実証された影響のない自動スキャナーの出力;
- ✦チームメンバーへのソーシャルエンジニアリング。
実際のユーザーリスクを露呈する対象外の報告についても、当社が対応する場合があります。
当社の対応
保証ではなく目標です:3 営業日以内に受領を確認、7 営業日以内に初期評価、確認済みの問題については少なくとも 14 日ごとに状況を更新します。重大な問題については、影響を受けるダウンロードを直ちに取り下げる場合があります。修正はクリーンなコミットから再ビルドし、必要に応じて再署名し、新しいチェックサムとともに再公開し、リリースノートで告知します;取り下げたバイナリは、ひそかに書き換えるのではなく、印を付けたまま残します。
誠実に行動していただける場合——プライバシーへの害を避け、ご自身のデータのみを使用し、修正に合理的な時間を与えていただける場合——当社は協力し、ご同意のうえでリリースノートに謝辞を記します。
プライバシーに関する要望
リーダーボードの記録削除の依頼やデータの取り扱いに関する質問は脆弱性ではありません——《プライバシー通知》のお問い合わせ欄をご覧ください。account.json のトークンを誰にも送らないでください。
リリースの真正性
公式のダウンロードは本ウェブサイトおよびプロダクトリポジトリの GitHub Releases からのみ提供され、それぞれに SHA-256 チェックサムと署名ステータスの表示が付きます。検証に失敗したダウンロードは実行しないでください——削除し、公式チャネルから再ダウンロードし、不一致が続く場合は報告してください。