运行不需要安装的应用程序是否安全？

这个文件是一个二进制可执行文件。它已经从源代码编译成了你的CPU可以执行的形式，你只需要请求执行它就可以运行。
当你运行像APT这样的软件包管理器时，下载的软件通常也包含预编译的二进制文件，所以这种类型的文件并没有什么特别之处。文件的打包工作会做一些有用的事情，比如告诉软件包管理器将二进制文件复制到文件系统的哪个位置，并提供脚本确保程序能够找到任何共享库和其他依赖的程序，并设置所需的环境。
你可能认为这个程序不安全的原因是它来自一个未知的来源，而Ubuntu软件仓库中的软件来自一个已知的来源，并且通过签名验证过程protected by a signature verification process来确保它们在传输到你的系统时没有被篡改。
基本上，从未知来源下载和运行可执行文件是不安全的，除非你信任提供者并且可以验证下载的文件完整无损。为了达到后者的目的，发行商可能会提供某种校验和，你可以用它来检查上传的文件与你下载的文件内容是否相同。
关于Telegram，有一个令人鼓舞的事情是它是开源的：
这个软件采用GPL v3许可证发布。 源代码可以在GitHub上找到。
这意味着任何人都可以阅读程序的源代码，以确保它不会对您的系统造成任何不良影响。实际上，大多数终端用户并不愿意花时间去阅读源代码以确保程序的安全性，也不愿意学习如何做到这一点。然而，我对参与其中的社区能够发现开源软件中的安全漏洞和错误还是有一些信心的。
至于为什么Ubuntu不会警告该程序不安全，嗯，向用户询问他们可疑决策并不符合Linux的传统。Linux系统通常被设计成只做你要求它做的事情，不多不少。用户被认为有责任意识到安全问题和其他潜在风险，并且很少会收到警告说他们即将危及或损坏自己的系统。
我使用一个PPA来安装Telegram 请参考这个答案了解所有安装Telegram的方法。PPAs使用APT的签名验证机制，但它们仍然存在一些风险，因为你需要信任维护者。PPAs确实提供了一些便利，比如在运行更新时自动更新（如果维护者更新了PPA），让软件包管理器知道你已经安装了该软件等等。

本地安装的软件

下载（或以任何方式本地复制）并在本地运行的软件（从您的用户身份）可能会执行您不需要管理员权限的任何操作。这包括删除您的（个人）文件，这对大多数人来说都是有害的。

如果您已登录到任何账户，并且软件以您的用户身份运行，同样要考虑您可能添加到sudoers文件中的脚本或命令。

如果您拥有管理员账户，并且软件要求您输入密码，而您不小心提供了密码，那么任何事情都可能发生。

警告？

如果没有提供密码，潜在的损害将仅限于您自己的账户。您不希望Ubuntu为您运行的每个命令都发出警告，无论是故意还是无意。

这就是为什么您绝对不应该运行来自您不确定是否可以信任的源代码，除非您完全理解该代码。