Podrías echar un vistazo a las técnicas empleadas aquí:
pero ten en cuenta la advertencia: Discourse Encrypt (deprecated)
Aparte de eso, no conozco ninguna.
Por supuesto, como aplicación RoR, Discourse gestiona la autorización de usuarios correctamente, por lo que, por ejemplo, no puedes acceder a recursos de administrador como un usuario normal.
Pero un plugin tiene un alcance administrativo (más allá de la etapa inicial de inicialización), por lo que tu suposición básica debe ser que es posible que un plugin acceda a datos de otro plugin (aunque sea muy poco probable: ¿un plugin de reacciones transmitirá tus datos a Facebook? ¡Lo dudo! 
)
La responsabilidad recae en el instalador (es decir, el administrador humano) para verificar todo el código que se añade a una instancia para que no abuse de ningún dato.
Si eres reacio al riesgo, simplemente no instales plugins de terceros que no entiendas completamente; quédate solo con la instalación principal.
Pero al final del día, ¿te aseguras de tener un desarrollador RoR senior en plantilla para revisar todo lo que se añade a una instancia?