AWS RDSのセキュリティグループ 全開放のリスク

どこからアクセス可能かはセキュリティグループだけで決まるわけではありません。
なので、それだけではリスクの評価ができません。

RDSを置いているVPCのサブネットに設定しているネットワークACLや、そのサブネットに関連付けられているルートテーブルの設定によっても変わります。

ネットワークACLは何もしてなければインバウンド、アウトバウンドともにすべて許可するようになっているはずなのでひとまずその前提で考えます。

サブネットについては、大まかにはパブリックサブネットかプライベートサブネットかどちらかによって話が変わってきます。
ざっくりとですが、前者であればそのサブネットにインターネットからアクセスできる状態に、後者であればインターネットからアクセス出来ない状態になっています。

RDSをパブリックサブネットに置いている場合、RDSのセキュリティグループを全開放するのは危険なので避けるべきです。
もしエンドポイントがわかってしまうと、パスワード認証を何らかの形で突破されたらDBを操作されてしまいますし、そもそもリクエストが外から届くことで、例えば大量のリクエストを投げたりしてRDSのパフォーマンスを低下させることもできてしまいます（DDoSのようなもの）
万一参照だけでなく変更の権限があるユーザで認証を突破されてしまうと、好きなようにDBを使われてしまいます。
巨大なデータを突っ込んでディスクをいっぱいにさせたりとかDBをまともに機能しなくしたりとか、必要以上に料金を発生させたりとか、いろんなことが考えられますね。
上記をインターネットの上でどこからでも行うことが出来てしまうのはかなりリスクが高いです。

プライベートサブネットに置いていればそもそもインターネットからアクセスできないのでリスクは大きく減ります。
ただし、AWS内からのアクセスしかないとしてもアクセス元は適切に絞ったほうが安全です。（特定のセキュリティグループや、特定のVPCのCIDRからのみ、など）
どうしてもインターネット経由から直接アクセスしたいという理由がなければ、基本的にRDSはプライベートサブネットに置くべきかと思います。

いずれにせよ、接続元を制限しないことは大したメリットがない割にリスクのほうが大きいので適切に絞りましょう。