Selon PANews, Worldcoin, un projet de crypto-monnaie co-fondé par Sam Altman, a publié un « rapport d'audit de confidentialité et de sécurité Orb » sur son blog officiel. L'audit a été mené par les experts en sécurité Trail of Bits, qui ont évalué le logiciel au-delà de l'évaluation de sécurité typique, en se concentrant sur une série de déclarations de confidentialité et de fonctionnalités liées à Orb. L'évaluation a débuté le 14 août 2023, pour une version logicielle qui a été gelée le 8 juillet 2023, sous le nom de SemVer 3.0.10. Depuis le 14 mars 2024, la version actuelle du logiciel déployée sur Orb est la 4.0.34, publiée pour la première fois le 17 janvier 2024.

Les résultats de l'audit ont montré que la configuration du logiciel dans le processus d'enregistrement de désinscription par défaut ne divulgue aucune information personnelle identifiable (PII) autre que le « code iris ». Il a également recommandé de renforcer davantage la configuration pour améliorer la sécurité. Pour le processus d'enregistrement opt-in autre que par défaut, les informations personnelles sont cryptées de manière asymétrique et stockées dans le SSD d'Orb, et le mécanisme de cryptage ne permet pas à Orb de déchiffrer. Les auditeurs n'ont trouvé aucune vulnérabilité connue ni processus d'exécution qui pourraient nuire aux objectifs du projet. De plus, le dernier code n’enregistre plus aucune donnée, que l’utilisateur choisisse ou non l’hébergement de données. Les auditeurs ont confirmé qu'Orb n'extrait pas de données supplémentaires des appareils des utilisateurs pendant le processus d'inscription et traite uniquement les informations du code QR fournies par l'utilisateur. Ils ont également souligné des problèmes potentiels de sécurité de la mémoire dans la bibliothèque en scannant le code QR et ont pris des mesures de remplacement pour renforcer la sécurité. De plus, le code de l'iris de l'utilisateur est traité en toute sécurité et n'est pas enregistré dans le stockage persistant d'Orb. Il n'est envoyé au backend que dans une seule requête et souligne que « bien que cette configuration puisse être améliorée pour renforcer la sécurité (TOB-ORB-10), un attaquant typique ne devrait pas être en mesure d'extraire le code iris du trafic réseau d'Orb ; l'attaquant doit contrôler l'un des certificats de confiance.