blenderでは、ファイルを開いたときにpython スクリプトが自動で起動される設定がある(Auto Run Python Scripts or Python スクリプトの自動実行)。おそらくファイルを開いたときに前回までの作業を状況をセットアップしたり、作業しやすいように自動でセットアップするのではないかと思う。

このpython スクリプトにマルウェアを仕込んだ.blendファイルが、.blend配布サイトで確認されたとのこと。

てか、blenderそんな機能あったんだ。

こちらが、マルウェア付きの椅子となっております。

残念ながらマルウェアを実行してしまったと思われるreddit民の投稿より(https://www.reddit.com/r/blender/comments/1l2tj36/warning_malware_in_blend_file/)

.blendのpython スクリプト悪用は以前にも問題になっていた？

全く知らなかったのだが、.blend内のpython スクリプト自動実行機能は以前に問題なっていて、セキュリティ的問題ということで公式がデフォルトで無効化設定にしたらしい。

確認できた限りの情報だと、ver.2.6以降？

Blender comes bundled with python. Malicious scripts written in python could potentially damage your computer. As a security measure the automatic running of python scripts has been disabled since version 2.6. https://blender.stackexchange.com/questions/21312/what-does-autorun-disabled-statement-mean

現在のドキュメントでも自動実行スクリプトの危険性について言及があった。

The ability to include Python scripts within blend-files is valuable for advanced tasks such as rigging and automation. However, it poses a security risk since Python does not restrict what a script can do. Therefore, you should only run scripts from sources you know and trust. Automatic execution is disabled by default; however, some blend-files need this to function properly. https://docs.blender.org/manual/en/latest/advanced/scripting/security.html#scripting-security

公式のドキュメントにも記載があるようにpython スクリプトの自動実行を前提としたものも配布されているようなので、必要なときもあるらしい。

そんな自動実行が必要なものは使わない方が良いと思います。