A co na něm zkontrolujete? A ten vlastní skript acme.sh taky kontrolujete řádek po řádku, než ho spustíte?
Pokud to děláte jak je psáno v samostatném uživatelském účtu, a stahujete přes HTTPS z adresy, kterou jste se dozvěděli na stránce projektu, nepředstavuje to žádné přidané bezpečnostní riziko.