Wu a appris que l'équipe de recherche de Brave a publié un rapport indiquant que les risques pour la sécurité et la vie privée du système d'autorisation des transactions blockchain zkLogin ne dépendent pas uniquement de la preuve à divulgation zéro sous-jacente, mais reposent fortement sur une série d'hypothèses non explicitement contraintes au niveau du protocole, telles que l'analyse JWT/JSON, la stratégie de confiance de l'émetteur, la liaison du contexte d'émission et l'intégrité de l'environnement d'exécution. Le rapport résume trois principaux types de vulnérabilités : une extraction de claims laxiste et non normative pouvant accepter des JWT malformés ; la conversion de certificats d'authentification à court terme en certificats d'autorisation à long terme sans forcer la liaison avec l'émetteur, le destinataire, le sujet ou la temporalité, ce qui peut entraîner une usurpation entre applications (notamment dans les scénarios de navigateur), tout en soulignant que ces problèmes ne sont pas dus à une faille intrinsèque des algorithmes de chiffrement.