Ci sono un paio di potenziali rischi che ti vengono in mente.
Innanzitutto se esiste una vulnerabilità nel software client (ad esempio un overflow del buffer) connettendosi a un server malevolo, potrebbe essere possibile per il server compromettere la macchina client tramite il protocollo VNC.
In secondo luogo, c'è il rischio evidente che la macchina client sia visibile al server (cioè il server conosca l'indirizzo IP del computer client) che potrebbe consentirgli di indirizzare il client verso altri attacchi (se questi avrebbero avuto successo Ovviamente dipende dalla configurazione del client).
L'ultimo rischio che ti viene in mente è ancora una volta ovvio che qualsiasi dato immesso dal client nella sessione VNC sul server potrebbe essere osservato e modificato, per esempio collegandosi al server malevolo e poi usando il browser su quel server, cose come le credenziali di accesso al sito web potrebbero essere compromesse.