Ничто не работает в X, не выделяется из других программ, работающих под X.
Программа, работающая на X. Сервер, используя протокол X11, можно проверить, какие другие окна открыты.
Есть несколько других проблем безопасности с помощью X11. При настройке SSHD я когда-либо видел только рекомендации для поворота доступа через X Off, никогда. Wayland должен быть улучшением этой области.
Обратите внимание, что Docker находится в процессе изоляции, но по другим причинам, чем безопасность. Вы получаете родную скорость, приятную изоляцию и контроль над тем, что работает в контейнере, но нет гарантий, что процессы будут содержаться на 100%, в отличие от подходящей песочницы (или что-то вроде бегущего SELinux в рамках контейнера Docker).
Говоря, что докер побежден, немного похоже на пикирование в открытой двери.