いまさらだけど、これって普通に考えてなかなかヤバそうな機能ですね。
ASCII.jp：File APIでブラウザーからローカルファイルを操作 (1/5)｜古籏一浩のJavaScriptラボ
W3Cのドラフト見ると、
File API
ヤバそうなファイル操作があったら、ユーザーエージェント側でセキュリティエラーにしろ、とか書いてありますね。そこがバグってないことを祈る、って感じなんですかね。