En tout cas Chrome semble avoir révisé sa position sur le sujet:

Oui, cela a été annoncé le 19 décembre 2024 : le support de JPEG XL sur tous les navigateurs web arrive pour 2026.

Google dévelope un décodeur JPEG XL en Rust qui sera implémenté dans tous les navigateurs web sauf Safari qui a son propre décodeur JPEG XL.

Dans les réponses qui sont arrivées juste après, ça parle de surface d'attaque. Le non-support de JPEG XL viendrait de la volonté de limiter les surfaces d'attaque. C'est vrai que plus il y a de codec, plus il y a de potentielles failles dans l'implémentation.
On l'a vu avec webp qui a deux implémentations, une avec perte et une sans perte, les algo étant complètement différents, cela fait deux surfaces d'attaques sur un seul format d'image...

Maintenant on a aussi des solutions pour limiter ces risques, les outils d'analyses de code sont de plus en plus poussé et on a des langages qui permettent d'écrire du code performant et sécurisé comme le Rust. La solution pourrait venir de ce dernier, dans les commentaires ils parlent du projet jxl-rs, un décodeur JPEG XL implémenté en Rust.

    Good news! The jxl-rs project (a safe and fast JPEG XL decoder implementation in Rust) is progressing well. We are currently on track to deliver the following milestones:

        End of February 2025: Initial decoding capabilities and a preliminary API.
        April 2025: Aiming for a conforming decoder implementation, fully compliant with the JPEG XL specification.
        July 2025: Critical code paths fully SIMDified and with a finalized API. This anticipated timeline should allow jxl-rs to be ready for browser integration in alignment with Interop 2025 goals.

Les choses vont peut-être bouger d'ici à cet été.

J'ai fusionné tous les messages lié à JPEG XL dans un même sujet (c'était un peu éparpillé avant)