Według PANews, Worldcoin, projekt kryptowalutowy, którego współzałożycielem jest Sam Altman, opublikował na swoim oficjalnym blogu „Raport z audytu prywatności i bezpieczeństwa Orb”. Audyt został przeprowadzony przez ekspertów ds. bezpieczeństwa Trail of Bits, którzy ocenili oprogramowanie wykraczające poza typową ocenę bezpieczeństwa, koncentrując się na szeregu oświadczeń dotyczących prywatności i funkcjonalności związanych z Orb. Ocena rozpoczęła się 14 sierpnia 2023 r. dla wersji oprogramowania, która została zamrożona 8 lipca 2023 r. jako SemVer 3.0.10. Na dzień 14 marca 2024 r. aktualna wersja oprogramowania wdrożona w Orb to 4.0.34, wydana po raz pierwszy 17 stycznia 2024 r.

Wyniki kontroli wykazały, że konfiguracja oprogramowania w domyślnym procesie rejestracji rezygnacji nie powoduje wycieku żadnych danych osobowych innych niż „kod tęczówki”. Zalecono także dalsze wzmocnienie konfiguracji w celu zwiększenia bezpieczeństwa. W przypadku procesu rejestracji typu opt-in innego niż domyślny, dane umożliwiające identyfikację są szyfrowane asymetrycznie i przechowywane na dysku SSD firmy Orb, a mechanizm szyfrowania nie pozwala na odszyfrowanie firmy Orb. Audytorzy nie stwierdzili żadnych znanych luk w zabezpieczeniach ani procesów wykonawczych, które mogłyby zaszkodzić celom projektu. Co więcej, najnowszy kod nie zapisuje już żadnych danych, niezależnie od tego, czy użytkownik wybierze hosting danych. Audytorzy potwierdzili, że Orb nie pobiera dodatkowych danych z urządzeń użytkowników podczas procesu rejestracji, a jedynie przetwarza informację o kodzie QR przekazaną przez użytkownika. Wskazali także na potencjalne problemy związane z bezpieczeństwem pamięci w bibliotece skanując kod QR i podjęli działania zastępcze w celu zwiększenia bezpieczeństwa. Ponadto kod tęczówki użytkownika jest bezpiecznie przetwarzany i nie jest zapisywany w pamięci trwałej Orb. Jest wysyłany do backendu tylko w jednym żądaniu i wskazuje, że „chociaż tę konfigurację można ulepszyć w celu zwiększenia bezpieczeństwa (TOB-ORB-10), typowy atakujący nie powinien być w stanie wyodrębnić kodu tęczówki z ruchu sieciowego Orb; atakujący musi kontrolować jeden z zaufanych certyfikatów.'