Um vírus de uma VM VirtualBox pode afetar o computador host?

Muito boa pergunta.

A principal razão pela qual um vírus pode se propagar da VM para o sistema operacional host é através da rede. Depois de começar a usarrede em ponteentre o anfitrião e o convidado as coisas ficam mais arriscadas. Sua máquina e a VM são vistas como dois nós na mesma sub-rede. Um worm que veja esses 2 nós tem a possibilidade de propagação se tal vulnerabilidade for encontrada.

Sim, se você tiver pastas compartilhadas...

Pastas compartilhadas por meio da VM ou rede padrão.

Não tenho certeza e há algum tempo não vejo nenhum vírus que se espalhe assim e edite arquivos em uma rede, mas é possível.

Só porque é uma VM não significa que seja segura, basta tratá-la como outra máquina física na sua rede.

Portanto, se você tiver antivírus em sua máquina host (e outras em sua rede), você estará tão seguro quanto estará, mas, novamente... trate qualquer VM como qualquer outra máquina física.

A única maneira segura de executar uma VM é desabilitar os recursos de rede (ou a VLAN separá-la completamente da sua rede... e não ter nenhum tipo de interface de gerenciamento nessa VLAN.) e toda a integração host/convidado que envolve o compartilhamento de arquivos.

A menos que haja uma falha de segurança no Virtualbox que permita sair da VM (e você não tenha corrigido), então não. Porém, vale lembrar que se houver alguma conexão de rede entre os dois, existe a possibilidade de ele migrar para o host, como se migrasse entre máquinas normais da mesma rede.

Editar: Em termos de verificação de conexões, a maneira mais simples é mapear o host do convidado. Use a opção -PN, caso seu host bloqueie o ping. Se houver alguma resposta, então você tem uma conexão aí. Mesmo que não o faça, ainda existe a possibilidade de conexão através de outra máquina, se esta estiver conectada tanto ao host quanto ao convidado.

Em resposta à postagem de John T sobre ponte - Não há nada que exija que o host seja abordado. Nas nossas configurações o host nunca possui um ip atribuído e portanto não possui conexão de rede. Quando as atualizações são necessárias, todos os virtuais são suspensos, o host recebe um IP temporariamente, as atualizações são executadas, o IP do host é removido e os virtuais podem ser retomados.

Como mantemos o host bastante vazio e fazemos todo o trabalho nos virtuais, são necessárias muito poucas atualizações de host, principalmente kernel, X e código de virtualização.