По ссылке сказано, что этот раздел предназначен для взаимодействия расширения браузера и приложения. Скажем, какие-то вещи расширение в браузере делать не в состоянии (как правило, из-за ограничений безопасности), но оно может для этого «попросить» браузер вызвать свой хост на исполнение и общаться с ним посредством описанного протокола сообщений. По крайней мере, я примерно так понял.
Дык, потенциально любое API — угроза 
.