Inledande entusiasm för "No CAPTCHA" övergick i besvikelse då systemet bygger på användarbeteende och cookies för att vitlista användare. Författaren menar att "No CAPTCHA" inte försvårar för bottar, då äldre metoder fortfarande fungerar och mänskliga lösare kan kringgå nya, komplexa utmaningar. En ny allvarlig svaghet introduceras: clickjacking kan utnyttjas för att lura legitima användare att generera giltiga "g-re[[CAPTCHA-response]]"-tokens för illvilliga syften. Systemets referensbaserade skydd är lätt att kringgå, och möjligheten att förbereda många utmaningar i förväg utgör ytterligare en svaghet.