Безопасно ли использовать ненадежный букмарклет на веб-странице, содержащей конфиденциальные данные, например на странице интернет-банкинга?
Нет.
В частности, может ли букмарклет отправлять данные куда-либо или выполнять какие-либо действия (например, следующие ссылки) на странице?
Да.
Букмарклет запускает некоторый JavaScript, как если бы он был включен на страницу автором страницы (со всеми вытекающими разрешениями).