En un mot, WSL n'est qu'une couche de compatibilité Linux ABI, c'est-à-dire un ensemble de bibliothèques qui traduisent un appel système Linux en quelque chose que le noyau Windows est capable de faire.
L'idée générale est d'avoir cette couche de compatibilité aussi fine que possible pour garantir que les binaires Linux s'exécutent sous Windows presque aussi rapidement que de manière native. Ainsi, il est loin d'être une machine virtuelle. Par exemple. tous les systèmes de fichiers Windows sont montés dans WSL sous /mnt pour votre confort, etc. Sauf pour limiter quelque peu la surface d'attaque (comme vous l'avez déjà souligné), WSL ne fournit aucune isolation sécurisée.
Selon cette recherche, c'est en fait mauvais en ce qui concerne les outils de sécurité actuels.
Tout binaire Linux interagit directement avec un pilote du noyau sans passer par les API Win32 ou NT normales que les logiciels de sécurité interceptent normalement. Ils n'apparaissent pas non plus dans les tables de processus Win32, donc moins de visibilité...