如何尽可能防止虚拟机逃逸？

漏洞是防不了的，只能等补丁来修复。

关闭硬件加速（
有可能的话用不同架构的硬件

减少攻击面，增加隔离吧。严防死守终有漏网之鱼，做好风险控制。

积极关注，及时更新，host 和 guest 都使用最少的软硬件，不直通，不共享，不装各类 vm tools ，并且 host 也视作不安全，不放个人文件，摄像头麦克风蓝牙无线 NFC 都拆了，用路由器限制 host 的流量和对内网的访问，并且在路由器配置白名单的、匿名的、可靠的透明代理，在此基础上再考虑不同虚拟机套个娃？

漏洞是不可避免的，很多小问题本身不算问题，但组合后却是个巨大的漏洞

不想打补丁的话，最好是做好虚拟机安全和虚拟化系统的安全访问了（逃逸的前提是你先登录了我的虚拟机才能去执行逃逸漏洞利用操作），安装 EDR 之类的杀毒软件我感觉效率太低了，拼命优化服务器和应用代码性能结果被 EDR 占用了 20%来扫描检测病毒和攻击，想想就觉得可惜。
还有一种就是搞嵌入虚拟化系统的虚拟化防火墙，不过这种要改变虚拟化系统的网络架构加虚拟交换机之类的，变动也很大。

只要允许攻击者在虚拟机 OS 里执行命令 /程序就有可能导致虚拟机逃逸，backdoor 只是一个攻击面，更大的攻击面在于 hypervisor 进程中虚拟出的众多“软”外设，比如 2020 年天府杯的选手是从 vmware 的 USB 主机控制器接口这个软外设完成逃逸的。

host 使用 64 位的 FreeBSD ，guest 使用 32 位的 windows ，会不会降低逃逸风险？