Tanto quanto qualquer outra coisa, é uma mentalidade.
Por ter seu diretório atual como parte de seu caminho, você está realmente aumentando seu risco. Só porque um programa de trojan foi executado, não significa que ele não fará o que se espera dele. Em outras palavras, para usar o seu exemplo ls, o programa trojan, a menos que fosse projetado por um burro, forneceria a lista de diretórios que você solicitou, de modo que, a menos que você diga o arquivo ali, você não teria razão para esperar algo deu errado (talvez seja inteligente e decida se remover da lista de diretórios fornecida para diminuir ainda mais a chance de detecção).
Para que isso ocorra, isso significaria que alguém já se infiltrou em um determinado sistema ao ponto de poder colocar arquivos em seu sistema de arquivos. Assim, você já está mal, mas ainda há espaço para que as coisas piorem.
Como prática geral, eu não coloco meu diretório atual no meu caminho em meus sistemas linux / unix, e isso não é uma grande dificuldade. Quando escrevo um programa ou script que desejo usar com frequência, coloco-o em uma pasta que está no meu caminho e restringo as permissões de gravação ao arquivo.
Curto respondedor, adicionando o diretório atual para o seu caminho levar a determinada desgraça para um usuário não privilegiado, provavelmente não, mas por que arriscar?
Para root, NÃO FAÇA ISTO.