Kurz gesagt, WSL ist nur eine Linux-ABI-Kompatibilitätsschicht, d. h. eine Reihe von Bibliotheken, die einen Linux-Systemaufruf in etwas übersetzen, was der Windows-Kernel kann.
Die allgemeine Idee ist, diese Kompatibilitätsschicht so dünn wie möglich zu halten, um sicherzustellen, dass Linux-Binärdateien unter Windows fast so schnell wie nativ laufen. Es ist also bei weitem nicht annähernd eine virtuelle Maschine. Z.B. Alle Windows-Dateisysteme werden in WSL unter /mnt gemountet für Ihre Bequemlichkeit und so weiter. Abgesehen davon, dass die Angriffsfläche etwas eingeschränkt wird (wie Sie bereits betont haben), bietet WSL keine sichere Isolierung.
Laut dieser Studie ist es eigentlich schlecht, was aktuelle Sicherheitstools betrifft.
Jede Linux-Binärdatei interagiert direkt mit einem Kernel-Treiber, ohne die normalen Win32- oder NT-APIs zu durchlaufen, die Sicherheitssoftware normalerweise abfängt. Sie werden auch nicht in Win32-Prozesstabellen angezeigt, also weniger Sichtbarkeit...