La respuesta a eso depende. ¿Está su máquina virtual conectada en una red única de host? ¿O una subred virtual que está no conectada a Internet? o ¿se le permite a la vm acceder a Internet (es decir, puenteado o nat)?
Tener un acceso root a una máquina en su red sin contraseña es un gran riesgo para la seguridad. Si se explotara de alguna manera, le daría a un atacante carta blanca para descargar todo tipo de herramientas de prueba de penetración y software de evaluación de red (piense en apt-get install nmap, mysql-client, etc ...) y básicamente deambule por su red como si estaban sentados a tu lado conectados a tu wifi.
Si el vm está conectado solo en el host o está en una subred aislada, entonces es básicamente tan seguro como el sistema operativo de su host, dado que no ha realizado una configuración errónea ridícula en alguna parte. Desde entonces, el host tendría que ser explotado primero. Pero personalmente, tampoco me sentiría seguro en esta situación. Pero, de nuevo, soy del tipo paranoico.
Configurar las claves ssh no es un gran problema. Puede tomar todos los 5-10 minutos para lograrlo. Hay muchas guías sobre cómo hacerlo fácilmente, como esta de Digital Ocean y, aunque lo recomiendo altamente para hacerlo, incluso puedes hacer pares de llaves que no requieran contraseña si es absolutamente necesario. Al menos de esa manera, alguien necesitaría la clave ssh para conectarse, lo que hace que sea más difícil que simplemente iniciar sesión.
Pero para responder a su pregunta de título sin rodeos, si su vm de desarrollo está conectado a Internet con acceso de root, sin contraseña y está disponible un buen porcentaje del tiempo, las implicaciones de seguridad son potencialmente completas y el compromiso total de su red interna. Realmente lo recomendaría contra esto.