Por si alguien no lo sabe, los exploits de bookmarklet han existido durante años y básicamente estás ejecutando JavaScript arbitrario en la ventana de tu navegador que puede robar cualquier información vulnerable en la pestaña abierta. Si haces esto, simplemente asume que estás haciendo clic en un archivo virus.exe.

Hasta donde sé, está limitado solo a la pestaña abierta actual y no tiene acceso a extensiones. Pero si estás usando, por ejemplo, un terminal web como Axiom, y probando un "genial complemento de francotirador de Axiom" que requiere que arrastres un bookmarklet, entonces te van a rekt.