Yazar, iki yıl önce Matrix'in Olm kütüphanesinde yan kanal güvenlik açıkları bulduğunu ve Matrix.org'un bu sorunları 90 gün boyunca düzeltmekle uğraşmadığını belirtiyor. Hatta Matrix.org güvenlik ekibinin, yaklaşan ifşayı birçok alternatif istemciye bildirmekte başarısız olduğunu ve bu durumun, Matrix.org'un ambargoyu ele alış biçiminden şikayetçi olmalarıyla daha da rahatsız edici hale geldiğini ekliyor. Matrix'in bu duruma cevabı ise README dosyalarına bir "kullanımdan kaldırıldı" uyarısı eklemek ve Hacker News'te Matthew Hodgson aracılığıyla yan kanal saldırılarını zaten bildiklerini iddia etmek olmuş. Milyonlarca insana bilerek savunmasız kriptografi sunmanın ve ürünlerinin Signal'den daha iyi olduğunu iddia etmenin sorumsuzluk sınırında olduğunu vurgulayan yazar, bu olaydan sonra Matrix'i kullanmama kararı aldığını ifade ediyor.
Yakın zamanda Discord alternatifleri üzerine yazdığı bir blog yazısının Matrix savunucularını tekrar gündeme getirmesi üzerine, yazar Matrix ekibinin gurur duyduğu Rust kütüphanesi Vodozemac'ı incelemeye karar veriyor. İnceleme sonucunda Vodozemac'ta da kriptografik sorunlar tespit ediliyor. Yazar, bu sorunları 11 Şubat 2026'da Matrix.org güvenlik ekibine bildiriyor. Matrix.org'un başlangıçta "pratik bir güvenlik etkisi yok" yanıtını vermesine rağmen, yazar ek kanıtlar ve bir yama ile yanıt veriyor ve 17 Şubat 2026'da kamuoyuna açıklama yapıyor. Bu hızlı açıklama süreci (bir hafta), yazarın güvenlik açıklarının tam ve hızlı bir şekilde ifşa edilmesi gerektiği inancından kaynaklanıyor; özellikle de satıcıların duyarsız kaldığı durumlarda.
Bu durum, Matrix platformunun güvenlik iddiaları ve kullanıcı verilerinin korunması konusundaki taahhütleri hakkında ciddi sorular ortaya koyuyor. Yazar, Google Project Zero'nun 90 günlük açıklama normunu bağımsız araştırmacıların her zaman uymak zorunda olmadığı bir nezaket olarak görüyor ve satıcıların işbirliği yapmadığı durumlarda tam kamuoyu açıklamasının önemini vurguluyor. Matrix'in güvenlik açıklarıyla ilgili tutumu, kullanıcıların güvenliğini riske atma potansiyeli taşıyor ve şeffaflık eksikliği eleştiriliyor.
Matrix'in kriptografik kütüphanelerindeki güvenlik açıkları ve bu açıkları ele alış biçimi, kullanıcı verilerinin güvenliği ve platformun itibarı üzerinde ciddi soru işaretleri yaratıyor.