Честно, когда начал читать про эти атаки через privileged и докер-сокет — сначала казалось, что это какой-то кошмар для админов. Там всё просто: дали контейнеру слишком много прав — он вылазит на хост. Вот и всё. А вот эти баги в runc и гонки с симлинками — это уже продвинутые штуки, но, кажется, всё сводится к неправильной настройке и непатченным версиям. Главное, чтобы не было открытой двери в контейнере.