Actualmente, el usuario puede configurar la YubiKey durante la configuración para que esté protegida contra escritura. Esto es para que el dispositivo no pueda verse comprometido por algún tipo de script malicioso que se carga en él, sino también para evitar que se comprometa la integridad de la clave. Aunque, si alguien tiene el dispositivo físico, entonces realmente no hay necesidad de ir más allá para comprometer el dispositivo, al menos en el sentido de la autenticación estática del dispositivo, ya que tiene el dispositivo en sí.
Pero, en resumen, la YubiKey tiene medidas para evitar que el código malicioso se vuelva a cargar en el dispositivo. Pero esto debe ser configurado por el usuario durante la configuración inicial de las claves que están almacenadas en el dispositivo. Si alguien tuviera que agarrar un YubiKey antes de que el usuario final lo configurara, entonces en teoría, sí, podría verse comprometido.