Qualquer serviço executado com uma porta publicamente acessível pode ser atacado e, portanto, prejudicial a um servidor, e houve algumas explorações recentes contra o MySQL que podem permitir a execução arbitrária de códigos:
Existem também maneiras de fazer com que o MySQL preencha todo o espaço em disco disponível e sobrescreva arquivos usando nada além de um SQL válido se o MySQL for gerenciado incorretamente. Imagine o MySQL sendo executado em um servidor com uma única partição e um usuário mal-intencionado adicionando várias linhas a uma tabela (já vi isso acontecer).
Mas "malicioso" não é um termo que eu atribuo ao PHP ou ao MySQL porque isso sugere que a única intenção do software é causar danos. Eu não tenho certeza exatamente o que você está perguntando aqui. Se eu segui o caminho errado, por favor, esclareça sua pergunta e eu responderei novamente.
EDITAR: Dado os requisitos rigorosos da sua pergunta (assumindo por "nenhuma linguagem de script" você quer dizer "nada interage com o MySQL"), então o MySQL não fará nenhuma conexão sozinho. É como se o Apache rodasse na interface localhost de um servidor e não fizesse nada com ele. Seu cenário é um pouco acadêmico, no entanto, e eu ainda não deixaria o MySQL no meu servidor (em execução ou não) se eu não tivesse uma necessidade real para isso.