Часто замечал, что io_uring действительно оставляет "слепые зоны" для многих EDR-решений — они цепляются за стандартные syscalls, а io_uring обходит их, работая напрямую в ядре. По eBPF в основном только "стандартные" точки ловят, кастомных правил для io_uring не встречал, потому что это редкость. Так что если ищешь обходы, стоит попробовать именно через io_uring, но без рута там особо не разгонишься.