Si il existe une préoccupation partagée par tous les acteurs d'internet, c'est bien la sécurité, condition sine qua none pour que son utilisation se poursuive et engendre tous les profits auxquels elle nous a habitué : partage des connaissances, sociabilité facilitée et vente d'espaces publicitaires. La sécurité a donc été prise en compte dès la conception de WebGL. Difficile de faire plus bateau comme introduction mais comme s'en passer ?
L'une des causes majeures de problèmes de sécurité sur internet est le comportement confinant parfois à la naïveté de ses utilisateurs qui a été exploité par d'innombrables attaques s'appuyant sur l'ingénierie sociale. Toutefois, il est trop tôt pour savoir si WebGL fournira à l'avenir un vecteur efficace pour ce genre d'attaques, même si l'interactivité que cette technologie permet pourrait donner de mauvaises idées à certains.
Il existe toutefois deux autres types d'attaques qui pourraient se révéler fructueuses.
WebGL constitue une nouveauté dans le domaine de la sécurité sur internet en ce qu'il permet de faire exécuter du code non au CPU comme c'est traditionnellement le cas mais au GPU, qui est responsable de nombreux plantages au niveau du système d'exploitation. En particulier, on pourrait imaginer des shaders extrêmement long qui s'exécuteraient jusqu'à rendre le système inutilisable. Khronos est conscient de ses différents problèmes (accès à de la mémoire hors portée ou non initialisée qui sont souvent non surveillés dans le domaine du graphisme en temps réel pour des questions de performances, mais qui s'avère problématique dans le cadre d'internet où le code peut venir de n'importe où). Le consortium a proposé diverses solutions comme l'extension GL_ARB_robustness. Le modèle a néanmoins été sévèrement critiqué par la firme ContextIS.
L'autre domaine spécifique à WebGL qui a provoqué l'inquiétude concerne la possibilité de charger des textures ou des vidéos provenant d'un autre nom de domaine que duquel provient le code javascript. ContextIS a notamment dévoilé une démonstration de faisabilité assez inquiétant qui permet de « voler » la mémoire vidéo d'un ordinateur exécutant un programme WebGL et donc placer des copies d'écrans sur un serveur distant. Mozilla a réagi lors de la publication de Firefox 5 en désactivant cette possibilité.
Microsoft a répondu à ces « révélations » en confirmant qu'Internet Explorer ne supporterait pas WebGL. Cette position a été vu comme de la mauvaise foi par des employés de Mozilla, de Google et même de Microsoft, car la firme américaine propose les mêmes fonctionnalités via une solution technique proche (utilisant DirectX à la place d'OpenGL) ce qui l'expose à des failles similaires.