> ну, собственно, превьюху при загрузке он и создает, что ж еще.

Я не понимаю кто такой "загрузчик юзерских фотографий". Сценарий с авто-поимением который я себе представляю - как-то так:

Есть файлманагер типа проводника, он обычно по dbus просит генератор превьюх слепить ему превьюхи для того и этого. Генераторов превьюх в природе более 1, в принципе кто угодно может подсесть на dbus и вывесить этот интерфейс. Как там он делает превьюху документов, которые уместно в GS скармливать - очень отдельный вопрос. Может через либу какую, может через какие-то программы, способов бесконечно и чего всем дался именно image magic я не вдупляю. Для GS я нашел более 4 страниц программ и либ которые им как-то пользуются. Это реверс-лукап по зависимостяс пакетов, всего лишь, так что не включает в себя программы и либы которых не было в репах дистра.

> у юзера в браузере, там все уже привыкли к untrusted input.

Ага, привыкли... мозилла так рассказывала про то как переписанный на JS просмотрщик станет безопасным. Ну им кто-то типа equation и подогнали input. В виде JS. Мозилла еще и перегоняют PDFы в JS. Ну вот такой странный способ показа pdf у них. Сперва пару минут истошно тупят, делая из пдфины большой ява скрипт. Потом его выполняют. В этом случае их парсер немного обдурили, так что он просто получал сразу яваскрипт на вход. Ну и конечно выполнял его. Это было бы не так страшно, но бонусом они посадили баг позволяющий этому скрипту закосить под что-то типа части просмотрщика. И вывалиться в привилегированный контекст. А вот там оно может уже например шариться по всему диску, читая файлы. Ну equation и сделали сканер винчей, кроссплатформенный при том. Шарится по всему диску, ищет чего ценного есть. Тырит если найдет. Список ценностей довольно длинный, в основном логины,пароли,ключи,креды,прокси,ну и прочий потенциально интересный материалец, статистически часто встречающийся у "интересных личностей". Вот фото котят их не интересовали, это да. Они все-равно в социалках открыто вывалены, в отличие от какого-нибудь ключа ssh к вашему серверу. А вот возможность зайти на чей-то сервак без спроса - достаточно весело уже. При том лох даже и не заметит что у него ключ умыкнули, ведь для этого не требовалось ... ничего. Просто на сайт зайти неудачно.