A página man do ssh-keygen diz
-O option
Specify a certificate option when signing a key.
A opção -O force-command=command
refere-se a certificados que não são chaves.
Você precisará gerar um certificado assinando uma chave e, em seguida, poderá decodificar o certificado e ver o comando incorporado.