Te olvidas de la memorias externas (SD, USB, etc..) que pueden estar infectadas. Así que ni siquiera teniéndolas en un equipo offline estaría 100% seguro. La única manera es copiando la clave privada en un papel y aun así te podrían robar dicho papel.
Cuando hablaba de un ordenador que "ni esté ni vaya a estar nunca conectado a Internet", incluía evidentemente cualquier dispositivo conectado a ese ordenador. Si no hay conexión a Internet, por muchos gusanos, virus y troyanos que haya ahí dentro o en las memorias externas, las claves privadas nunca podrán escapar de ahí.
El único vector de ataque que se me ocurre en este caso (aparte de fallos criptográficos en el software utilizado) sería que algo lograra suplantar a la herramienta utilizada para generar las direcciones. Por ejemplo, que cuando el usuario crea estar ejecutando "multibit.exe" se estuviera ejecutando, en su lugar, un "parezco_multibit_je_je.exe", que generara direcciones controladas por el atacante. Para evitar eso, habría que asegurarse de comprobar la firma digital del ejecutable y de que ni el programa que verifica la firma digital ni la referencia que utilizamos para comprobarla han sido suplantados, claro. Si nos ponemos paranoicos, al final no nos podemos fiar de nada.
Recuerda que tienes que pasar las transacciones desde el ordenador desconectado al conectado, y usaras algún método para pasarla, puedes usar una impresora y pasar todo mediante papel pero me parece poco practico. Claro es que esto es para paranoicos.