VirtualBox - Guest Addons como um risco de segurança para o PC Host?

O malware pode, em teoria, escapar da máquina virtual se houver algum bug no Guest Additions que permita isso. Isso já aconteceu com a VMware , e existe para o VirtualBox , mas parece muito improvável que aconteça : um malware especial precisaria ser criado para fazer isso.

Uma discussão adicional está nesta questão de segurança de TI: Uma máquina virtual impede que malwares causem danos? . Essas discussões também são úteis:

Quão seguras são realmente as máquinas virtuais? Falsa sensação de segurança?

Como garantir que os convidados do VirtualBox não possam sair da vm para obter acesso à máquina host?

Você definitivamente desejará desativar a rede na VM, dependendo do que você está fazendo, isso pode ser uma fonte de infecção para o PC host.

Mesmo sem extensões de convidado, pode haver uma falha no VirtualBox, permitindo que malwares ataquem o sistema host. A instalação de extensões guest coloca você em risco, pois as extensões permitem acesso mais próximo ao sistema host para melhorar o desempenho e, assim, permitir mais vetores de ataque.

Embora o risco não seja tão alto em geral, tem havido falhas no VirtualBox (e em outros softwares de virtualização), veja e. g. link

Você deve considerar o uso de hardware dedicado ou, pelo menos, deixar de fora os ramais dos hóspedes e ficar atento a novas falhas no VirtualBox, se você realmente quiser estar seguro.