Ich kann auch nicht nachvollziehen, dass automatisch etwas aktiviert ist, das kaum ein Projekt nutzt. Da wäre andersrum der Sichere Weg.
Vielleicht sollten da die Security Verantwortlichen nochmals drüber nachdenken. Projekte mit API-Nutzung werden sicher von Personen betreut, die wissen, welche Plugins angestellt werden müssen. Die können diese dann anstellen. Die anderen, die diese Plugins nicht brauchen, müssten aber nichts extra deaktivieren.