PWA tak samo jak zwykła strona internetowa jest podatna na te same ataki. Użycie jakiegokolwiek frameworka/biblioteki do generowania HTMLa (ja używam React) raczej zablokuje niechciane wykonanie skryptów. XSS polega na ty że ktoś w swojej notatce zapisał by np.
<script>alert('Jestem hakerem!')</script>
a inny user zobaczyłby alert z przeglądarki. Jeśli każdy user będzie miał swoje notatki to XSS jest prawie nie możliwy :) (Zaatakowanie siebie samego da raczej niewiele). Nie znam Flutter więc na jego temat się nie wypowiem ale jest inna możliwość opublikowania swojej aplikacji w Google Play. Możesz wykonać tak zwane TWA (na podstawie strony internetowej bez PWA też działa) : https://www.youtube.com/watch?v=XaWTwqZ3Qng
Co do firebase ja osobiście jestem w tym narzędziu zauroczony :) (Najszybsza integracja z logowaniem przez inne portale :D ) Firebase jest stworzone z myślą o szybkim starcie aplikacji dlatego też nie przejmowałbym się userami o takiej ilości notatek :) Jeśli uda Ci się zgromadzić 5000 userów to myślę że bez problemu będziesz mógł zacząć zarabiać na aplikacji i wykupić płatny plan w firebase :)