Como mencionado, as guias desfocadas ainda estão em execução.
Não é impossível que sites AJAX como o StackExchange sejam comprometidos e forneçam malvados malvados em vez de notificações deliciosas.
Eu não diria que esta é uma grande ameaça para se preocupar no momento. Malware geralmente é entregue imediatamente quando você carrega a página. Isso é o que eu quero como autor de malware, no controle de um site ou anúncio de terceiros. Então eu não me incomodaria em invadir o código de notificação também.
Este não é um caso em que os especialistas têm se preocupado publicamente (desculpem-me por dizer isso, mas não parece que você se considera um).
Eu acho que a ameaça de procurar seria algum bug XSS estranho em notificações de comentários AJAX em sites com software de blog desatualizado, mas com páginas populares o suficiente para valer a pena atacar ... Eu acho que ainda é muito situação planejada, por causa dos detalhes da última parte. O atacante está prevendo que as pessoas ainda têm esta aba aberta, e a pretensa vítima já saiu da aba antes do ataque (e não vai voltar a ela também!).
Se você observar, é fácil encontrar algumas extensões do Firefox que fizeram isso. No entanto, todos eles são descritos como experimentais e antigos.
Eu me concentro em garantir que seu navegador esteja atualizado e você não tem nenhum plug-in de terceiros (ou seja, java e flash sem o recurso "clique para reproduzir" ativado). E se você está ansioso por não ter proteção suficiente, você deve ter um bloqueador de anúncios sem exceção (uBlock Origin). Você também pode gostar do HTTPS Everywhere.