Ну, то, что RTBLeed на js организуют — я полагаю сомнительным, а вот на web assembly — таки да. Получается сверхдыра, особенно если сайт будет отдавать зараженный блоб лишь малой доли пользователей. Логичным решением выглядит — прием лишь подписанного wasm после аудита.