poetry publishをうっかり実行してしまい、privateなファイルが全世界に公開されると困るので。。 自分だけならまだ注意すれば良いけど、人に薦めることを考えると気になります。

結論

poetry new <package-name> からpoetry publishをしてみたところ、以下のようにまー大丈夫っぽい。

• Buildしていなければ大丈夫（かつ--buildを付けなければ）
• そもそもPyPIのアカウント登録をしていなければ大丈夫
  https://packaging.python.org/tutorials/packaging-projects/
• [tool.poetry] でexclude = ["**"] とする方法もある。
  こうすると、ほぼ空のパッケージになるので大丈夫
  https://stackoverflow.com/questions/62967062/disable-publishing-to-pypi-with-poetry

他の言語

C#の.NET Coreでは、dotnet publish コマンドは違った位置づけで、あくまでローカルに発行するだけ（のはず）。
https://docs.microsoft.com/ja-jp/dotnet/core/tools/dotnet-publish

Rustのcargo publishでは、publish = falseオプションがある。
opt-inにすべきでは？というIssueがある。
https://doc.rust-lang.org/cargo/reference/manifest.html#the-publish-field
https://github.com/rust-lang/cargo/issues/6153