De man 8 sshd com relação ao formato de arquivo de chaves autorizado e à opção command="command" :
Note that this command may be superseded by either an sshd_config(5) ForceCommand directive or a command embedded in a certificate.
Usar ssh-keygen -O force-command="command" permite que um comando seja incorporado em um certificado. Mas como se verifica se um comando não foi incorporado em um certificado? Ao longo dessas mesmas linhas de impedir que comandos inesperados sejam executados, o ForceCommand sempre substitui um comando incorporado em um certificado?
Um usuário mal-intencionado pode ignorar um ssh O comando forced_keys forced? faz uma pergunta mais geral sobre segurança, mas atualmente as respostas não mencionam comandos embutidos em certificados.
A página man do ssh-keygen diz
-O option
Specify a certificate option when signing a key.
A opção -O force-command=command refere-se a certificados que não são chaves.
Você precisará gerar um certificado assinando uma chave e, em seguida, poderá decodificar o certificado e ver o comando incorporado.
Tags ssh security openssl ssh-keygen