Ograniczenie rozprzestrzeniania się wirusów i koni trojańskich dzięki Palladium jest jednak podawane w wątpliwość, wiele bowiem z tego typu złośliwych programów działa raczej przez korzystanie z funkcji istniejących programów, np. ich systemów makr, niż instalowanie w systemie nowych aplikacji. Ponadto, jeżeli decyzja o akceptacji lub odrzuceniu danego kodu zostanie pozostawiona użytkownikowi, jak to się dzieje w przypadku weryfikacji kontrolek ActiveX przez Microsoft Internet Explorer, nie należy się spodziewać znaczącego wzrostu poziomu bezpieczeństwa. Co najwyżej działanie wirusów zostanie ograniczone do obszarów poza "bezpieczną strefą" Palladium.

Ponadto, jak podał w 2001 r. Microsoft, pełniący rolę zaufanej trzeciej strony VeriSign został oszukany przez podającą się za pracownika Microsoftu osobę i wydał klucze w imieniu Microsoftu. Klucze te mogły zostać wykorzystane do podpisania aplikacji lub skryptów, które identyfikowałyby się, jakby pochodziły z Microsoftu. Sytuacja taka może się powtórzyć. Dodatkowo, pomimo oparcia weryfikacji kodu w konsoli XBox Microsoftu na rozwiązaniach sprzętowych, zabezpieczenia te zostały pokonane przez Andrew Huanga, doktoranta MIT. Huang zauważył, iż co prawda funkcje deszyfrujące rdzeń systemu operacyjnego konsoli są zaszyte w specjalnym układzie scalonym, jednak podczas startu konsoli są one przesyłane w postaci niezaszyfrowanej do jej procesora, co pozwala przechwycić klucz.

Niepokój budzi także możliwość udostępnienia nadrzędnych praw do systemu bezpieczeństwa Palladium organizacjom policyjnym. Istnienie takich praw, bez względu na to, w czyich rękach by się znajdowały, stwarzałoby możliwość pokonania jego zabezpieczeń przez opanowanie wyłącznie jednej metody ataku. Microsoft podał, iż jeszcze nie rozwiązał problemu udostępniania wglądu do zaszyfrowanych przy użyciu Palladium danych na podstawie nakazu sądowego. Co prawda, jak podaje FBI, policja rzadko napotyka zaszyfrowane dane, lecz zawarcie mocnych mechanizmów kryptograficznych w produkcie tak rozpowszechnionym jak Windows mogłoby zachęcić przestępców i terrorystów do korzystania z niego.

Innym elementem wpływającym na ocenę bezpieczeństwa Palladium jest przewidywany stopień złożoności systemu. Już obecnie Windows XP liczy sobie ok. 50 mln linii kodu (dla porównania, Windows 3.1 z 1992 r. tworzyło 3 mln, a Windows 95 z 1995 r. - 15 mln linii kodu). Zdaniem Martina Reynoldsa z GartnerGroup Palladium jest jedną z najbardziej technicznie złożonych rzeczy, jakie próbowano na PC. Zawierające Palladium Windows będą więc zapewne liczyć sobie jeszcze więcej jak 50 milionów linii kodu. Tymczasem według ocen Carnegie Mellon University każde 1000 linii kodu zawiera zwykle 5 - 15 błędów. Zdaniem Bruce'a Schneiera, eksperta ds. bezpieczeństwa, złożoność jest najgorszym wrogiem bezpieczeństwa. Dlatego też, komentując projekt Palladium dla TechNews.com, Schneier stwierdził: "jeżeli to zadziała, będzie to pierwszy tego typu przypadek w historii informatyki (...) Właściwie szansa, iż będzie to bezpieczne, wynosi zero".

Microsoft potwierdza, że szczególnie pierwsze wersje Palladium będą zawierały błędy. Paul England, jeden ze współtwórców projektu Palladium, stwierdza: "zakładam, że będziemy sprzedawali [Palladium] z błędami (...) Nie spodziewam się cudów do wersji 2.0 lub 3.0". Może to jednak stanowić istotny problem dla systemu, gdyż, jak mówi Martin Reynolds: "cała rzecz musi pracować prawidłowo, a jeżeli nie będzie tego robić - w ogóle nie będzie działać".

Z tego też powodu Microsoft zdecydował się na co najmniej upublicznienie kodów źródłowych Palladium. Możliwe, iż będą one dostępne także na zasadach open source. Ma to na celu: zwiększenie zaufania do bezpieczeństwa systemu, szybsze identyfikowanie błędów, ułatwienie ISV przygotowywanie nowych aplikacji korzystających z Palladium oraz dodatkowo umożliwienie dostosowania innych systemów operacyjnych do współpracy z Palladium.

Co więcej, ponieważ podstawowe mechanizmy bezpieczeństwa Palladium będą wspólne zarówno dla aplikacji biznesowych, jak i konsumenckich, zwiększa to zagrożenie, iż staną się one celem zmasowanych ataków i w końcu zostaną złamane.

Ochrona przed podsłuchem elektronicznym

Palladium ma także zabezpieczać przed przechwyceniem lub zmianą informacji przesyłanych pomiędzy jednostką centralną a monitorem i klawiaturą. Pojawiają się tu jednak pewne wątpliwości.

Po pierwsze Palladium nie jest w stanie zabezpieczyć przed urządzeniem podsłuchowym zamontowanym w klawiaturze lub monitorze. Po drugie nie przeszkodzi ono działaniu różnego rodzaju oprogramowania do monitorowania i zarządzania siecią (np. packet sniffers) czy zdalnej administracji i dostępu, które mogą mieć dostęp do chronionych informacji. Po trzecie wreszcie Palladium nie ochroni przed podsłuchem elektromagnetycznym typu TEMPEST, dzięki któremu można z kilkudziesięciu metrów odczytać informacje wyświetlane na ekranie, lub niewidocznym, lecz zakodowanym w obrazie przez specjalny program.

W sumie proponowane w Palladium zabezpieczenia transmisji danych między komponentami PC są zaprojektowane bardziej w celu ochrony przed nieupoważnionym wykorzystaniem treści chronionych DRM, niż by zapewnić ochronę przed różnego rodzaju formami podsłuchu elektronicznego.