Como mencioné en esta publicación, las dependencias adicionales que se extraen también son un vector de ataque.
En los plugins es bastante fácil instalar Gems adicionales. Esto es bastante invisible para un administrador.
Además, no parece que haya un SRI en este enfoque. No conozco muy bien el ecosistema de Ruby, ¿el repositorio de Gem es inmutable?