4月17日消息,Sam Altman联合创立的加密项目Worldcoin在官方博客中发布《Orb隐私和安全审计报告》,安全专家Trail of Bits对Orb的软件进行了专门审计,除了典型的安全评估之外,Trail of Bits还重点评估与Orb相关的一系列隐私和功能声明。 Trail of Bits于2023年8月14日开始对一个软件版本进行评估,该版本于2023年7月8日冻结,为SemVer 3.0.10。截至2024年3月14日,部署到orb的当前软件版本为4.0.34,首次发布日期为2024年1月17日。

评估结果显示,软件配置在默认选择退出的注册流程中不会泄露除“虹膜代码”外的个人身份信息(PII),同时推荐进一步加固配置以增强安全性。对于非默认选择加入的注册流程,PII被非对称加密,并保存在Orb的SSD中,加密机制不允许Orb解密。审计人员未发现任何已知漏洞或执行过程中会损害项目目标的情况。此外,最新代码不再保存任何数据,无论用户是否选择数据托管。审计人员确认Orb在注册流程中不会从用户设备提取额外数据,仅处理用户提供的二维码信息。同时,也指出了扫描二维码的库存在潜在内存安全问题,并已采取替换措施以增强安全性。此外,用户的虹膜代码被安全处理,不会被保存在Orb的持久存储中,仅在单次请求中发送至后端,并指出“虽然这种配置可以改进以提高安全性(TOB-ORB-10),但典型的攻击者应该不可能从Orb的网络流量中提取虹膜代码;攻击者必须控制其中一个受信任的证书。”