Ahn vale! Que era un debate!
A ver yo creo que en realidad en un principio supuestamente tienes que tener en cuenta las mismas consideraciones que cuando estás enviando información sensible a través de un formulario normal y corriente. Solo cambia la forma en que estás enviando los datos: de manera asíncrona.
Yo creo que habría que tener en cuenta las consideraciones de siempre: validación de datos en cliente y servidor y utilizar si es necesario conexiones seguras bajo SSL

Creo que habría que tener especial cuidado con el framework DWR. La filosofía de este framework es utilizar AJAX mas o menos como RMI, es decir, poder hacer llamadas a métodos remotos en el servidor. En este caso estas exponiendo parte de la lógica del servidor al cliente. Podría ser aprovechado de alguna manera para intentar ataques de denegación de servicios.

Lo más intersante desde mi punto de vista es la posibilidad de poder cruzar dominios con AJAX. Parece ser que con alguna versión de Flash y utilizando AJAX es posible. Esto si es más peligroso, ya que cualquiera puede modificar el código javascript y utilizarlo contra el servidor de la manera que quiera