L'équipe de recherche de Brave a publié un rapport identifiant des risques importants en matière de sécurité et de confidentialité dans le système d'autorisation des transactions blockchain zkLogin. Le rapport souligne que ces risques ne dépendent pas uniquement de la preuve à connaissance nulle sous-jacente, mais reposent fortement sur plusieurs hypothèses au niveau du protocole. Celles-ci incluent l'analyse JWT/JSON, les politiques de confiance de l'émetteur, la liaison au contexte d'émission et l'intégrité de l'environnement d'exécution. Le rapport classe trois vulnérabilités principales : l'acceptation de JWT mal formés en raison de normes laxistes d'extraction des revendications, la conversion de justificatifs d'authentification à court terme en justificatifs d'autorisation à long terme sans appliquer la liaison émetteur/public/objet/temps, ce qui pourrait entraîner un usage abusif inter-applications, notamment dans les environnements de navigateur. Le rapport insiste sur le fait que ces problèmes ne sont pas dus à des défauts des algorithmes cryptographiques eux-mêmes.