PANewsによると、サム・アルトマン氏が共同設立した仮想通貨プロジェクトWorldcoinが、公式ブログで「Orbのプライバシーとセキュリティ監査レポート」を公開した。監査はセキュリティ専門家のTrail of Bitsが実施し、Orbに関連する一連のプライバシーと機能性の声明に焦点を当て、通常のセキュリティ評価を超えてソフトウェアを評価した。評価は2023年8月14日に開始され、2023年7月8日にSemVer 3.0.10として凍結されたソフトウェアバージョンに対して行われた。2024年3月14日現在、Orbに展開されている現在のソフトウェアバージョンは4.0.34で、2024年1月17日に最初にリリースされた。
監査の結果、デフォルトのオプトアウト登録プロセスにおけるソフトウェア構成では、「虹彩コード」以外の個人識別情報(PII)が漏洩していないことが分かりました。また、セキュリティ強化のため、構成をさらに強化することを推奨しました。デフォルト以外のオプトイン登録プロセスでは、PIIは非対称暗号化されてOrbのSSDに保存され、暗号化メカニズムによりOrbは復号化できません。監査人は、プロジェクトの目的に害を及ぼす既知の脆弱性や実行プロセスは発見しませんでした。さらに、最新のコードでは、ユーザーがデータホスティングを選択するかどうかに関係なく、データが保存されなくなりました。監査人は、Orbが登録プロセス中にユーザーのデバイスから追加のデータを抽出せず、ユーザーが提供したQRコード情報のみを処理することを確認しました。また、QRコードをスキャンするライブラリに潜在的なメモリ安全性の問題があることを指摘し、セキュリティ強化のために代替措置を講じました。さらに、ユーザーの虹彩コードは安全に処理され、Orbの永続ストレージには保存されません。これは単一のリクエストでのみバックエンドに送信され、「この構成はセキュリティを強化するために改善できますが (TOB-ORB-10)、一般的な攻撃者は Orb のネットワーク トラフィックから虹彩コードを抽出できないはずです。攻撃者は信頼できる証明書の 1 つを制御する必要があります」と指摘されています。