Você pode dar uma olhada nas técnicas empregadas aqui:
mas observe a ressalva: Discourse Encrypt (deprecated)
Fora isso, não estou ciente de nenhum.
Claro, como um aplicativo RoR, o Discourse gerencia a autorização do usuário corretamente, então, por exemplo, você não pode acessar recursos de administrador como um usuário normal.
Mas um plugin tem escopo administrativo (além do estágio inicial de inicialização), então sua suposição básica deve ser que é possível para um plugin acessar dados de outro plugin (mesmo que muito improvável - um plugin de reações vai transmitir seus dados para o Facebook?! Duvido!! 
)
O ônus é do instalador (ou seja, o administrador humano) para verificar todo o código que é adicionado a uma instância para que ele não abuse de nenhum dado.
Se você for avesso ao risco, simplesmente não instale plugins de terceiros que você não entende completamente - atenha-se apenas à instalação principal.
Mas, no final das contas, certifique-se de ter um desenvolvedor RoR sênior na equipe para revisar tudo o que está sendo adicionado a uma instância?