Possono, ma è MOLTO improbabile.
Dato che sia i video e le immagini di YouTube vanno per fasi multiple di taglio, conversione in altri formati, ecc. è molto improbabile che il tuo exploit venga mantenuto in tale ambiente. La cosa migliore che potrebbe fare è dirottare uno dei convertitori di Google in cui probabilmente solleverebbe facilmente alcune bandiere rosse sui sistemi di rilevamento delle intrusioni.
Anche supponendo che il tuo exploit sarebbe in grado di sopravvivere a tali cambiamenti (che è fondamentalmente impossibile), sarebbe soggetto a molti diversi SO, browser Web ecc. È molto probabile che molte delle configurazioni rileveranno qualcosa di negativo con il tuo immagine, quindi la maggior parte dei sistemi non riprodurrebbe questo video / non visualizzerebbe questa immagine, forse anche rileverebbe tale exploit (perché antivirus, sistema operativo non compatibile, EMET ecc.). Questo di nuovo solleverebbe alcune bandiere rosse, molto probabilmente prima che quel video fosse visto da molte persone. E il tuo impossibile exploit sarebbe rovinato.
E questo è esattamente il motivo per cui la maggior parte degli exploit viene mantenuta per obiettivi preziosi: è molto facile trovarli in un ambiente così vario che Internet è certamente. E poi diventano rapidamente inutili, perché la maggior parte degli utenti vulnerabili si aggiorna rapidamente.