PANews 4月17日訊息,Sam Altman共同創立的加密專案Worldcoin在官方部落格中發布《Orb隱私和安全審計報告》,安全專家Trail of Bits對Orb的軟體進行了專門審計,除了典型的安全評估之外,Trail of Bits也重點評估與Orb相關的一系列隱私和功能聲明。 Trail of Bits於2023年8月14日開始對一個軟體版本進行評估,該版本於2023年7月8日凍結,為SemVer 3.0.10。截至2024年3月14日,部署到orb的當前軟體版本為4.0.34,首次發布日期為2024年1月17日。
評估結果顯示,軟體配置在預設選擇退出的註冊流程中不會洩露「虹膜代碼」以外的個人識別資訊(PII),同時建議進一步加強配置以增強安全性。對於非預設選擇加入的註冊流程,PII被非對稱加密,並保存在Orb的SSD中,加密機制不允許Orb解密。審計人員未發現任何已知漏洞或執行過程中會損害專案目標的情況。此外,最新程式碼不再保存任何數據,無論用戶是否選擇數據託管。審計人員確認Orb在註冊流程中不會從用戶設備提取額外數據,僅處理用戶提供的二維碼資訊。同時,也指出了掃描二維碼的庫存在潛在記憶體安全問題,並已採取替換措施以增強安全性。此外,使用者的虹膜程式碼被安全處理,不會被保存在Orb的持久性儲存中,僅在單次請求中發送至後端,並指出「雖然這種配置可以改進以提高安全性(TOB-ORB- 10),但典型的攻擊者應該不可能從Orb的網路流量中提取虹膜代碼;攻擊者必須控制其中一個受信任的憑證。