Eu também não entendo a discussão acima.
O bug é muito simples: se o modo não for verboso, nenhuma limpeza de UserAuthTokenLog é realizada, nunca. O if deve ser removido.
A implementação original apenas registrava quando SiteSetting.verbose_auth_token_logging era verdadeiro. O que ainda tinha o problema de que, após desativá-lo, os logs restantes mais recentes permaneceriam, mas isso é uma coisa pequena.
Mas esta alteração tornou o registro incondicional (“Os logs de tokens de autenticação generate, rotate e suspicious agora são sempre registrados, independentemente da configuração verbose_auth_token_logging”).
Resumo; Essa alteração esqueceu de tornar a remoção incondicional também.