Potrivit PANews, Worldcoin, un proiect de criptomonedă co-fondat de Sam Altman, a lansat un „Raport de audit al confidențialității și securității Orb” pe blogul său oficial. Auditul a fost realizat de experții în securitate Trail of Bits, care au evaluat software-ul dincolo de evaluarea tipică de securitate, concentrându-se pe o serie de declarații de confidențialitate și funcționalitate legate de Orb. Evaluarea a început pe 14 august 2023, pentru o versiune de software care a fost înghețată pe 8 iulie 2023, ca SemVer 3.0.10. Începând cu 14 martie 2024, versiunea actuală de software implementată pe Orb este 4.0.34, lansată pentru prima dată pe 17 ianuarie 2024.
Rezultatele auditului au arătat că configurația software în procesul de înregistrare implicit de renunțare nu scurge nicio informație de identificare personală (PII) în afară de „codul iris”. De asemenea, a recomandat consolidarea în continuare a configurației pentru a spori securitatea. Pentru procesul de înregistrare care nu este implicit, PII este criptat asimetric și stocat în SSD-ul Orb, iar mecanismul de criptare nu permite lui Orb să decripteze. Auditorii nu au găsit vulnerabilități cunoscute sau procese de execuție care să prejudicieze obiectivele proiectului. În plus, cel mai recent cod nu mai salvează date, indiferent dacă utilizatorul alege găzduirea datelor. Auditorii au confirmat că Orb nu extrage date suplimentare de pe dispozitivele utilizatorului în timpul procesului de înregistrare și procesează doar informațiile codului QR furnizate de utilizator. Ei au subliniat, de asemenea, potențiale probleme de siguranță a memoriei în bibliotecă care scanează codul QR și au luat măsuri de înlocuire pentru a spori securitatea. În plus, codul de iris al utilizatorului este procesat în siguranță și nu este salvat în stocarea persistentă a lui Orb. Este trimis doar către backend într-o singură solicitare și a subliniat că „deși această configurație poate fi îmbunătățită pentru a spori securitatea (TOB-ORB-10), un atacator tipic nu ar trebui să poată extrage codul iris din traficul de rețea al lui Orb; atacatorul trebuie să controleze unul dintre certificatele de încredere.'