Dichiarazione di non responsabilità: la domanda dell'OP è esplicitamente per Windows, quindi questa risposta si concentra solo su questo sistema. Per un sistema Unix o Unix la risposta sarebbe diversa.
Il problema non è proprio il fatto che alcune cartelle in PATH siano scrivibili da chiunque. PATH è solo un elenco di cartelle da cui è possibile avviare un comando con un nome semplice e non un percorso completo.
Ma il fatto che le cartelle contenenti comandi, siano esse in PATH o no, sono scrivibili da chiunque è un rischio per la sicurezza.
Se la macchina non ha un servizio server attivo e se è fisicamente protetta con un solo utente, il rischio potrebbe essere accettabile: se cancelli / riscrivi un file di sistema o qualsiasi altro eseguibile, dovresti sapere perché e nessun altro di quanto tu possa essere la colpa. Tuttavia, le best practice (come dettate da Windows) consigliano di essere avvisati prima di eseguire un'attività potenzialmente pericolosa, quindi le cartelle di sistema dovrebbero richiedere la possibilità di scrivere i privilegi di amministratore.
Ma se più di una persona (gli amministratori non sono inclusi qui) possono accedere alla macchina, quindi diventa un serio problema di sicurezza. Uno potrebbe volontariamente o non sostituire un eseguibile o una DLL, e un altro potrebbe lanciare un programma indesiderato quando si esegue uno script Python. Non si parla se System32 è pubblicamente scrivibile perché qualsiasi azione potrebbe portare a risultati imprevisti.
TL / DR: a meno che tu non sia l'unico utente della macchina, la cartella Python non dovrebbe essere scrivibile da tutti, ma dovrebbe richiedere un privilegio di amministrazione.
Su un sistema Unix o Unix, il problema sarà diverso. Le prime installazioni di default normalmente non rendono mai le cartelle contenenti eseguibili pubblicamente scrivibili e il PERCORSO è pesantemente utilizzato. Quindi ovviamente avere una cartella in PATH pubblicamente scrivibile sarebbe per sé un serio problema di sicurezza. Ma Windows ha diversi usi ...