Sí, Google podría ejecutar una secuencia de comandos diferente a la que pretendía el creador del sitio, y no es difícil que una secuencia de comandos envíe información ingresada. Sin embargo, la reacción al quedar "atrapado" haciendo eso sería bastante grave entre los desarrolladores, y probablemente también los abogados. Hay términos y condiciones, y los contratos deben ser seguidos por las partes ambas . Hay pocos incentivos para que Google capture la información que probablemente ya tienen, por lo que probablemente no sea una preocupación realista.
Puede ver toda la actividad del script en las herramientas del desarrollador, incluidos los navegadores que no son de Chrome. Supongo que Google podría diseñar Chrome de una manera que cubra el script que se cargó, así como ocultar la solicitud http de la ex-filtración, pero aquí estamos muy hartos, y hay otras herramientas como wireshark que los atraparían. En resumen, simplemente no es posible hacerlo a la perfección, ni vale la pena que lo hagan en general.
Si tiene dudas, y la duda es saludable, utilice el atributo integrity en los recursos CDN para evitar este escenario exacto en los navegadores compatibles (~ 60% al momento de escribir).
EDITAR:
Hay una consideración de privacidad oculta aquí. No es la información que se ingresa, pero todo lo demás que Google puede decir de usted al usar ese servicio:
- Quién: qué usuario está cargando el script (IP)
- Qué - Qué script; algo para validar formularios, ver videos, etc. (url de script)
- Cuándo: a qué hora se cargó el script
- Dónde: en qué sitio / sección / página está el usuario (refferer)
- Por qué: Google es un pionero en aprendizaje profundo ;)
Si usted auto-aloja el script, Google no obtiene nada de eso y, por lo tanto, sus usuarios obtienen un poco de privacidad.