Полностью согласен, что много где упускают проверку именно владения объектом, а не просто роль. Автоматизация — класс, но без базовых фильтров и четких контрактов API всё равно беда. Особенно круто, если фильтруешь поля, которые разрешено менять, потому что Mass Assignment выстреливает чаще всего из-за лени с валидацией. Поддерживаю, баланс между скоростью и безопасностью — большая головная боль, но проще отстроить нормальные гемы в CI, чем бегать по проду.