Token Forest 보안 정책

최종 업데이트 2026-07-08

발행자: Poietic Studio

본 페이지는 영문 《보안 정책》의 한국어 번역본입니다. 차이가 있는 경우 영문판이 우선합니다. 리더보드 기록 삭제 등 개인정보 관련 요청은 《개인정보 보호정책》 페이지를 참조하십시오.

Token Forest는 Poietic Studio가 발행하는 독점(비공개 소스) 데스크톱 애플리케이션입니다. 당사는 그 보안 및 개인정보 관련 동작에 대한 신고를 진지하게 받아들입니다 — 특히 당사가 게시한 《개인정보 보호정책》과 모순되는 사항을 중요하게 다룹니다.

지원 버전

릴리스 노트에 달리 명시되지 않는 한, 보안 수정은 최신 공개 릴리스에만 제공됩니다. 이전 릴리스와 개발 스냅샷은 지원되지 않습니다 — 업그레이드해 주십시오.

취약점 신고

의심되는 취약점은 비공개로 신고해 주십시오:

  • 권장: GitHub 비공개 취약점 신고 — https://github.com/Ericcccccc777/Poietic-TokenForest/security
  • 이메일: security@tokenforest.com.au(최초 공개 릴리스 전에 활성화되는 메일함)

패치되지 않은 취약점에 대해 공개 이슈를 열지 마십시오. 일반적인 버그와 기능 요청은 공개 이슈 트래커에서 환영합니다.

신고에 다음을 포함하지 마십시오: 사용자의 Claude/Codex 로그, 프롬프트나 대화 내용, 소스 코드, access/refresh 토큰, 다른 사용자의 리더보드 데이터. 증적이 필요한 경우, 당사가 최소한의 비공개 공유 방법을 마련하겠습니다.

신고에 포함할 내용

  • Token Forest 버전과 정확한 다운로드 파일 이름(가능하면 SHA-256도);
  • 운영 체제와 아키텍처;
  • 명확한 영향 설명과 재현 단계 또는 개념 증명(PoC);
  • 신고 시점에 리더보드가 꺼짐·일시정지·켜짐 중 어느 상태였는지;
  • 해당 문제가 다른 곳에 공개되었는지 여부;
  • 어떻게 크레딧을 받고 싶은지(또는 익명 희망 여부).

대상 범위

  • 로컬 로그, 프롬프트, 대화 내용 또는 소스 코드 파일의 모든 업로드;
  • 리더보드가 꺼져 있는 동안의 모든 네트워크 요청(앱은 0을 약속합니다);
  • 동의 창/《개인정보 보호정책》과 실제로 전송되는 내용 간의 불일치;
  • 리더보드 인증 또는 행 수준 보안 우회(다른 사용자의 기록 열람 또는 수정);
  • access/refresh 토큰 노출;
  • 운영 체제 사용자 경계를 넘어 읽을 수 있는 로컬 저장소;
  • 임의 코드 실행, 안전하지 않은 아카이브/업데이트 처리, DLL 또는 라이브러리 하이재킹;
  • 공식 다운로드, 체크섬 또는 서명의 변조;
  • 공지된 리더보드 삭제 절차의 실패.

본인 계정과 테스트 데이터만 사용하고, 문제가 입증되면 즉시 중단해 주십시오.

대상 외(일반적으로)

  • UI, 애니메이션 또는 레이아웃 버그; 기능 요청;
  • 당사가 문서화한 지표 정의로 설명되는 토큰 수 차이;
  • 서명/해시 자체는 유효한데도 새 파일이 「자주 다운로드되지 않음」이라고 SmartScreen이 경고하는 경우;
  • 사용자의 OS 계정을 사전에 완전히 장악해야 하는 문제;
  • 입증된 영향이 없는 자동 스캐너 출력;
  • 팀 구성원에 대한 사회공학.

실제 사용자 위험을 드러내는 대상 외 신고에 대해서도 당사가 조치할 수 있습니다.

당사의 대응

보증이 아니라 목표입니다: 3 영업일 이내에 접수 확인, 7 영업일 이내에 초기 평가, 확인된 문제에 대해서는 최소 14일마다 진행 상황을 업데이트합니다. 중대한 문제의 경우 영향을 받는 다운로드를 즉시 내릴 수 있습니다. 수정은 깨끗한 커밋에서 다시 빌드하고, 해당하는 경우 다시 서명하며, 새로운 체크섬과 함께 다시 게시하고, 릴리스 노트에 공지합니다; 내려진 바이너리는 몰래 재작성하지 않고 표시된 상태로 남겨 둡니다.

선의로 행동해 주시는 경우 — 개인정보 피해를 피하고, 본인 데이터만 사용하며, 수정에 합리적인 시간을 주시는 경우 — 당사는 협력하며, 동의하에 릴리스 노트에 감사를 표합니다.

개인정보 관련 요청

리더보드 기록 삭제 요청이나 데이터 처리에 관한 질문은 취약점이 아닙니다 — 《개인정보 보호정책》의 문의 항목을 참조하십시오. account.json 토큰을 누구에게도 보내지 마십시오.

릴리스 진위성

공식 다운로드는 본 웹사이트와 제품 저장소의 GitHub Releases에서만 제공되며, 각각 SHA-256 체크섬과 명시된 서명 상태가 첨부됩니다. 검증에 실패한 다운로드는 실행하지 마십시오 — 삭제하고 공식 채널에서 다시 다운로드하며, 불일치가 계속되면 신고해 주십시오.