Även om Tor skyddar sina användares anonymitet, är det inte helt fritt från svagheter och säkerhetsrisker. Precis som alla andra anonymitetsnätverk kan Tor till exempel inte skydda övervakning av datatrafiken vid Tor-nätverkets gränser, det vill säga den trafik som går in i och ut ur nätverket. Tor försöker inte heller göra detta. Det betyder att om användaren inte använder någon egen kryptering, exempelvis SSL, kan ägaren till den sista noden vid ”gränsen” av Tor-nätverket se användarens data och avlyssna informationen. Det hände till exempel år 2007, då Dan Egerstad, en svensk säkerhetskonsult, avslöjade att han hade uppsnappat användarnamn och lösenord till Tor-användares mejlkonton genom att äga och övervaka slutnoder i Tors nätverk.
En annan svaghet avslöjades av Steven J. Murdoch och George Danezis vid University of Cambridge i en artikel som presenterades vid IEEE-symposiet år 2005. Artikeln handlade om hur utomstående med bara partiell insyn över nätverket genom olika tekniker för att analysera trafiken kan sluta sig till vilka noder som används som relä för de anonyma strömmarna. Dessa tekniker inskränkte markant den anonymitet som Tor erbjuder. Dessa två forskare har också visat att två annars orelaterade strömmar kan sammankopplas tillbaka till samma ursprung. Man dock inte identifiera användaren med hjälp av denna form av attack. Tor har tagit hjälp av forskarnas expertis när det gäller säkerhetsrisker i sin webbläsare, och Murdoch har finansierats av Tor och arbetat för dem sedan 2006.
Trots de attacker och intrång i Tor som har listats här ovan, har en undersökning från 2009 visat att Tor är säkrare och mer motståndskraftigt än andra tunnlade protokoll.
Det är inte bara viktigt att skydda sig mot attacker och känna till ett programs svagheter när man använder Tor, utan ständigt då man använder en webbläsare eller någon annan funktion på sin dator som har tillgång till internet. För företagare kan det vara särskilt viktigt att överse säkerheten, eftersom ens inkomst hänger på att alla datasystem är skyddade och fungerar. För att vara säker på att man är skyddad krävs det att man regelbundet gör sårbarhetsanalyser för att ta reda på vilka eventuella svagheter som finns i ens system. Det kan man få hjälp med på Holmsecurity.se.