Разве применение скриптов в браузере не ограничено средой самого браузера?
Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.
Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.
Это были обычные dll-ки на c++. Никто им не запрещал вызывать любые системные функции. У вирусописателей не получили широкого распространения из-за сложностями со скрытой установкой и простотой отключения/удаления. Но раз удалили эту фичу, значит оффтоп.
Не оффтоп. В расширениях Firefox можно вызывать функции нативных библиотек из Javascript. Никаких проблем с этим и сейчас нет, если надо. Там своя реализация FFI, похожая на питоновскую, называется js-ctypes. Пиши обертки для любой библиотеки и вызывай. Её вроде бы собрались удалять, но пока работает по-моему.
Ну и да, для вредоносных действий расширению совсем необязательно вылезать за пределы браузера, в нем самом по себе очень много интересного.