Potresti dare un’occhiata alle tecniche impiegate qui:
ma nota l’avvertenza: Discourse Encrypt (deprecated)
A parte questo, non ne sono a conoscenza di altri.
Naturalmente, come applicazione RoR, Discourse gestisce correttamente l’autorizzazione degli utenti, quindi, ad esempio, non è possibile accedere alle risorse di amministrazione come utente normale.
Ma un plugin ha uno scopo amministrativo (oltre la fase iniziale di inizializzazione), quindi la tua ipotesi di base deve essere che sia possibile per un plugin accedere ai dati di un altro plugin (anche se molto improbabile - un plugin di reazioni trasmetterà i tuoi dati a Facebook?! Ne dubito!! 
)
L’onere spetta all’installatore (cioè all’amministratore umano) di verificare tutto il codice aggiunto a un’istanza in modo che non abusi di alcun dato.
Se sei avverso al rischio, semplicemente non installare plugin di terze parti che non comprendi appieno - attieniti solo all’installazione di base.
Ma alla fine della giornata, assicurati di avere uno sviluppatore RoR senior nello staff per rivedere tutto ciò che viene aggiunto a un’istanza?