Na wypadek, gdyby ktoś nie był świadomy, exploity bookmarkletów istnieją od lat i w zasadzie uruchamiasz dowolny kod javascript w swoim oknie przeglądarki, który może ukraść wszelkie wrażliwe informacje na otwartej karcie. Jeśli to robisz, po prostu załóż, że klikasz plik virus.exe.

O ile mi wiadomo, jest to ograniczone tylko do aktualnie otwartej karty i nie ma dostępu do rozszerzeń. Ale jeśli używasz na przykład terminala internetowego, takiego jak Axiom, i próbujesz "fajnego dodatku snajperskiego Axiom", który wymaga przeciągnięcia bookmarkletu, to zostaniesz zniszczony.