WebGL został poddany analizie przez Microsoft Security Response Center, które stara się określić wpływ różnych technologii na bezpieczeństwo produktów Microsoftu i klientów firmy. Wyniki analizy nie są optymistyczne — produkty wykorzystujące WebGL raczej nie spełnią wymagań Security Development Lifecycle.
Ryzyko, na jakie naraża WebGL, zostało opisane na blogu MSRC. Zdaniem analityków z Microsoftu poważnym zagrożeniem jest zbyt pobłażliwe eksponowanie sprzętu aplikacjom webowym, a ich bezpieczeństwo zależy jedynie od niższych warstw systemu, w tym od sterowników dostarczonych przez inne firmy. Ponadto luki bezpieczeństwa WebGL nie zawsze będą widoczne w samym API WebGL, a ich wykrycie i usunięcie spocznie na barkach innych producentów oprogramowania (na przykład producentów sterowników). W blogu zasugerowano blokowanie zagrożonych konfiguracji sprzętowych przez implementacje WebGL, ale to rozwiązanie nie może zostać wdrożone przed wykryciem wszystkich luk.
MSRC przedstawił również scenariusz z atakiem Denial of Service (DoS). Ich zdaniem współczesne systemu nie obronią się w pełni przed złośliwymi, odpowiednio spreparowanymi shaderami i geometrią przygotowanymi przez atakujących. Przez to szkodliwe witryny mogą zawieszać lub restartować systemy.
Oprócz tworzenia efektownych animacji i bogatych aplikacji WebGL umożliwia niestety również pisanie szkodliwego kodu. Znanym przykładem jest aplikacja, która pozwalała stronie wykonać zrzut ekranu na komputerze użytkownika Firefoksa (luka załatana w Firefoksie 5). Ciekawe zestawienie ataków wykorzystujących geometrię i shadery wykonywane przez witrynę na karcie graficznej zostało niedawno opublikowane przez firmę Context Information Secutiry.
