También debe tener cuidado con los recursos a los que accede un bookmarklet. Por ejemplo, una cosa que es útil y peligrosa es crear una nueva etiqueta de script y agregarla al cuerpo de la página. Eso permite que el script se ejecute en esa página, y AFAIK, sus restricciones de acceso son las mismas que las de cualquier otro script cargado "de la forma habitual". He visto librerías como esta para Firebug Lite y Delicious, pero puede haber muchas más.
La utilidad es obvia: puedes hacer muchas más tareas, y mucho más complejas, usando los datos de esa página. Pero el riesgo no siempre es obvio, ya que incluso si revisó el script y no encontró ningún problema con él, si no controla el sitio del que proviene el script, nunca podrá estar seguro de que no será reemplazado por uno menos seguro o incluso malicius.
Por otra parte, asumo que el script (que proviene de un origen diferente) no podrá realizar solicitudes HTTP en su nombre, por lo que su daño se limitaría a los datos ya presentes en su navegador. Pero no estoy seguro de esto, quizás alguien más conocedor de los permisos de acceso al navegador pueda responder a eso.