A dire il vero non è più così da un po' di anni, l'utente di default è "Kali" e di base non ha privilegi elevati1) Tutti i programmi vengono eseguiti da utente ROOT, ciò significa che se installi un software malevolo oppure esegui un codice malevolo su internet, esso avrà COMPLETO accesso al tuo PC.
Inoltre i repo non sono per nulla out-dated, anzi riguardo i tool di security sono sempre molto aggiornati, a differenza dei repo di Ubuntu e Debian che lasciano passare un sacco prima di aggiornare tali tool (cosa che effettivamente ci sta, dato che non dovrebbero servire).
Durante la fase di installazione inoltre è possibile specificare se si vogliono installare tutti i tools, solo la top 10 dei più usati, nessun tool oppure altro. Insomma, è molto flessibile a dire il vero.
Per questo os l'installazione in VM è la più consigliata, ma ognuno poi fa ciò che vuole