27 stycznia 1997 r. Niemiecki program telewizyjny pokazał demonstrację członków Chaos Computer Club ,w jaki sposób mogliby użyć formantu ActiveX do kradzieży pieniędzy z konta bankowego. Kontrola, dostępna w Internecie, została napisana w celu obalenia popularnego pakietu księgowego Quicken za pomocą elektronicznej wersji tailgating. Ofiara musi jedynie odwiedzić witrynę i pobrać kontrolkę ActiveX, o której mowa; formant następnie automatycznie sprawdza, czy zainstalowano Quicken. Jeśli tak, kontrola nakazała Quicken wystawić zlecenie przeniesienia, które zostanie zapisane na liście oczekujących przelewów. Następnym razem, gdy ofiara połączy się z odpowiednim bankiem i wyśle do banku wszystkie oczekujące polecenia przelewu, wszystkie przelewy zostaną wykonane jako jedna transakcja. Osobisty numer identyfikacyjny użytkownika (PIN) i numer autoryzacji transakcji (TAN) będą miały zastosowanie do wszystkich przelewów, w tym oszukańczych w stosie zamówień. Większość ofiar byłaby nieświadoma kradzieży, dopóki nie otrzyma kolejnego zeznania – jeśli wtedy. Dan Wallach z Princeton University, komentując tę sprawę, napisał:
Gdy akceptujesz kontrolkę ActiveX, zezwalasz na to, aby całkowicie dowolny kod szperał w twoim komputerze i robił wszystko, co mu się podoba. Ten sam kod może wykonywać niezwykle kosztowne rozmowy telefoniczne na numery 900 lub na duże odległości za pomocą modemu; potrafi czytać, zapisywać i usuwać dowolny plik na twoim komputerze; potrafi instalować konie trojańskie i wirusy. Wszystko bez podstępu i hakerów wymaganych do zrobienia tego w Javie. ActiveX przekazuje klucze do komputera. Odpowiadając na krytykę modelu bezpieczeństwa ActiveX, Bob Atkinson, architekt i główny implementator Authenticode, napisał długi esej wyjaśniający jego punkt widzenia. Wśród kluczowych punktów:
* Microsoft nigdy nie twierdził, że poświadcza bezpieczeństwo kodu innych osób.
* Uwierzytelnianie ma na celu wyłącznie identyfikację sprawców po wykryciu złośliwego kodu.
* Dystrybucja oprogramowania oparta na eksploratorze nie jest bardziej ryzykowna niż konwencjonalne zakupy przez sprzedawców oprogramowania.
Późniejsza korespondencja na forum RISKS karała pana Atkinsona za pominięcie kilku innych kluczowych punktów, takich jak:
* Interakcje między kontrolkami ActiveX mogą naruszać bezpieczeństwo systemu, nawet jeśli poszczególne kontrolki wydają się nieszkodliwe.
* W rzeczywistości nie ma precedensu w zakresie kładzenia odpowiedzialności u twórców oprogramowania, nawet jeśli można je znaleźć.
* Pod atakiem dowód podpisu cyfrowego prawdopodobnie wyparuje z uszkodzonego systemu.
* Opóźnienie wykonania szkodliwych ładunków skomplikuje identyfikację źródła uszkodzenia.
* Złośliwość nie jest tak ważnym zagrożeniem ze strony kodu jak niekompetencja.
* Firma Microsoft ma w historii opcje zagrażające bezpieczeństwu, takie jak automatyczne wykonywanie makr w programie Word, bez oferowania jakiegokolwiek sposobu wyłączenia tej funkcji.
* Witryna AWeb może wywoływać formant ActiveX, który znajduje się w innej witrynie lub który został już pobrany z innej witryny, i może przekazywać za pomocą tej kontroli nieoczekiwane argumenty, które mogą wyrządzić szkodę.
Krytyka Wallacha dotycząca ActiveX ma ogólne zastosowanie do technologii podpisanego kodu, a nie jest specyficzna dla ActiveX Microsoftu.