Um punhado de sinalizadores do curl muda a postura de segurança de uma requisição, e vale reconhecê-los de imediato.

-k / --insecure desativa a verificação do certificado TLS. A conexão continua criptografada, mas o curl não verifica mais que o certificado pertence ao host, o que remove a proteção contra um man-in-the-middle. É comum em testes rápidos contra certificados autoassinados e arriscado em qualquer outro lugar.

Usar http:// em vez de https:// envia tudo, incluindo cabeçalhos e quaisquer credenciais, em texto puro pela rede.

Credenciais embutidas na URL como usuário:senha@host podem vazar no histórico do shell, em logs do servidor e em cabeçalhos referer, então um cabeçalho ou -u é mais seguro.

Nenhum desses torna uma requisição maliciosa por si só, mas cada um é um sinal. Um bom tradutor os expõe como avisos em vez de carregá-los silenciosamente, para que você decida com o risco à frente.