Sie könnten sich die hier angewandten Techniken ansehen:
beachten Sie jedoch den Vorbehalt: Discourse Encrypt (deprecated)
Ansonsten sind mir keine bekannt.
Natürlich verwaltet Discourse als RoR-App die Benutzerautorisierung ordnungsgemäß, sodass Sie beispielsweise als normaler Benutzer nicht auf Admin-Ressourcen zugreifen können.
Aber ein Plugin hat einen administrativen Geltungsbereich (über die anfängliche Kerninitialisierungsphase hinaus), daher muss Ihre grundlegende Annahme sein, dass es für ein Plugin möglich ist, auf Daten von einem anderen Plugin zuzugreifen (auch wenn es sehr unwahrscheinlich ist - wird ein Reaktionen-Plugin Ihre Daten an Facebook senden?! Ich bezweifle es!! 
)
Es liegt in der Verantwortung des Installateurs (d. h. des menschlichen Administrators), den gesamten Code, der zu einer Instanz hinzugefügt wird, zu überprüfen, damit er keine Daten missbraucht.
Wenn Sie risikoscheu sind, installieren Sie einfach keine Plugins von Drittanbietern, die Sie nicht vollständig verstehen – beschränken Sie sich auf die Kerninstallation.
Aber letztendlich stellen Sie sicher, dass Sie einen erfahrenen RoR-Entwickler im Team haben, der alles überprüft, was zu einer Instanz hinzugefügt wird?