Es importante saber que el audio no pasa por MIDI. MIDI es un transporte para comandos que pueden activar audio. Un ejemplo literal es que tienes un teclado musical que no hace ningún sonido. Pero está enchufado en una caja que hace sonido. Entonces, el teclado pasa comandos para activar los sonidos y puede controlar las notas, el tono, las octavas, etc. Este transporte puede enviar (salir), recibir (entrar) o pasar (a través de) estos comandos. Tenga en cuenta que estos son comandos específicos y no realmente un código real.
Lo que no puede hacer es pasar el audio, especialmente el audio asociado con un video. Entonces, a menos que este sea un sitio en el que se envíen estos comandos para hacer sonidos como un sintetizador en línea o tal vez incluso un sitio de guía musical, no estoy seguro de cuál es su intención de usar esto.
También es posible que este sea un sitio mal creado y se haya implementado en un accidente. Chrome solicitará acceso a dispositivos MIDI independientemente de cómo se llame la API.
Aunque no conozco ninguna vulnerabilidad actual al usar esta función, hay dos CVE anteriores que conozco. CVE-2015-6792 y CVE-2015-6765 podría hacer un ataque de servicio de denegación, bloquear el navegador y posiblemente lograr la ejecución de código arbitrario fuera de la zona de pruebas. Sin embargo, ambos requieren versiones anteriores de Chrome, como 46 o 47.
Por lo tanto, sus riesgos intencionales son que puede enviar / leer comandos a las interfaces MIDI conectadas. Pero las órdenes deben ser específicas y no dañinas en sí mismas. Pero sigues permitiendo comandos, no obstante.
El riesgo intencional podría ser un problema si tiene el teclado de su computadora configurado como controlador MIDI y el sitio lee estos comandos. Como resultado, puede actuar como un keylogger. Sin embargo, no enviará caracteres y enviará comandos como 1111111 o 7F y ninguno se corresponderá con la letra y el número que presionó. Pero teóricamente, si el atacante supiera cómo se mapearon en su teclado, se puede hacer una referencia cruzada y traducirlos a lo que escribió. Sin embargo, este es un escenario altamente improbable.
Su riesgo involuntario es una vulnerabilidad como las CVE mencionadas anteriormente que se aprovechan para ejecutar cualquier código. Sin embargo, este es un riesgo que corres con el uso de una función del navegador que acepta entradas de un sitio.
En general, no hay suficiente información para saber si se trata de un uso legítimo de esta API. Tendrá que usar su mejor criterio si esta funcionalidad es necesaria para su propósito del sitio y qué tan bien confía en este sitio también.