Según PANews, Worldcoin, un proyecto de criptomonedas cofundado por Sam Altman, ha publicado un 'Informe de auditoría de seguridad y privacidad de Orb' en su blog oficial. La auditoría fue realizada por los expertos en seguridad Trail of Bits, quienes evaluaron el software más allá de la evaluación de seguridad típica, enfocándose en una serie de declaraciones de privacidad y funcionalidad relacionadas con Orb. La evaluación comenzó el 14 de agosto de 2023 para una versión de software que fue congelada el 8 de julio de 2023, como SemVer 3.0.10. Al 14 de marzo de 2024, la versión de software actual implementada en Orb es 4.0.34, lanzada por primera vez el 17 de enero de 2024.

Los resultados de la auditoría mostraron que la configuración del software en el proceso de registro de exclusión voluntaria predeterminado no filtra ninguna información de identificación personal (PII) que no sea el "código de iris". También recomendó seguir fortaleciendo la configuración para mejorar la seguridad. Para el proceso de registro de suscripción no predeterminado, la PII se cifra asimétricamente y se almacena en el SSD de Orb, y el mecanismo de cifrado no permite que Orb descifre. Los auditores no encontraron vulnerabilidades conocidas ni procesos de ejecución que pudieran perjudicar los objetivos del proyecto. Además, el código más reciente ya no guarda ningún dato, independientemente de si el usuario elige el alojamiento de datos. Los auditores confirmaron que Orb no extrae datos adicionales de los dispositivos de los usuarios durante el proceso de registro y solo procesa la información del código QR proporcionada por el usuario. También señalaron posibles problemas de seguridad de la memoria en la biblioteca al escanear el código QR y han tomado medidas de reemplazo para mejorar la seguridad. Además, el código de iris del usuario se procesa de forma segura y no se guarda en el almacenamiento persistente de Orb. Solo se envía al backend en una única solicitud y señaló que 'aunque esta configuración se puede mejorar para mejorar la seguridad (TOB-ORB-10), un atacante típico no debería poder extraer el código de iris del tráfico de red de Orb; el atacante debe controlar uno de los certificados confiables.