世界硬币：Trail of Bits审计表明Orb软件没有直接漏洞

人类身份项目Worldcoin已经对它的Orb软件进行了第三方审计，据看到的一份3月14日的开发团队草稿报告显示。审计由Trail of Bits公司进行，该公司声称在Orb软件中没有发现任何可以被“直接用于相关项目目标的滥用”漏洞，报告中这样说。根据Worldcoin发来的电子邮件声明，完整的Trail of Bits报告预计将在3月14日发布。

Worldcoin让人们可以通过注册一个电话号码或电子邮件地址，或者通过Orb设备的虹膜扫描来验证他们的 humanity。当用户完成注册时，他们会获得一个“World ID”，可以用它来证明他们是真实的人类。该项目是由Sam Altman共同创立的，同时他还共同创立了ChatGPT开发者OpenAI。Altman宣称他帮助创建Worldcoin是因为担心人工智能（AI）机器人很快就能有效地冒充人类。

隐私倡导者批评Worldcoin，认为它可能将用户的虹膜扫描泄露给黑客或政府。这些虹膜扫描可能会被用来揭示用World ID进行的所有活动。

相关：西班牙法院拒绝授予Worldcoin禁止监管机构执行禁令请求的请求

根据Worldcoin的报告，Trail of Bits从2023年8月14日开始进行评估。安全公司获得了3.1.10版本，该版本于2023年7月8日为了评估目的而“冻结”。报告称，当前版本是4.0.34。

据报告，审计员花费了六周时间调查代码中任何潜在漏洞。他们考虑了黑客可能会用到的攻击向量来获取用户虹膜扫描，但最终得出结论：“我们的分析没有发现与项目目标有关的Orb代码中的可被直接利用的漏洞。”具体来说，审计员得出结论认为，除非攻击者控制了其中一个受信任的证书，否则攻击者无法获取用户的虹膜码。他们表示：

根据报告，审计员确实提出了两条改进Orb安全性的建议。第一条是“加固”注册流程的配置，以确保未来的更改不会引入安全问题。Worldcoin团队实施了这一第一条建议。第二条是修复用于在注册期间扫描QR码的ZBar库中的错误。审计员声称，如果这一改变不做的话，ZBar将存在“内存安全性”问题，这可能导致配置数据的泄露，例如用户的“数据保管选择”。作为对第二条建议的回应，Worldcoin团队用纯Rust版本替换了ZBar库。

关于Worldcoin隐私实践之争可能会持续一段时间。3月6日，西班牙数据保护局对Worldcoin项目发布了一项禁令，声称该机构需要时间来调查Worldcoin可能违反数据保护法的指控。作为回应，Worldcoin声称并未违反这些法律，并且西班牙政府通过发布禁令“规避了欧盟法律”。

更新：3月18日4:18 UTC：本文已更新，以澄清有关ZBar库漏洞的信息。