En un Ethical Hacking se encontró que los comentarios de Active Admin no sanitizan el HTML ingresado, lo que permitiría guardar y mostrar cualquier tipo de contenido. El alcance de esta vulnerabilidad es super limitado (solo afectaría a admins) pero de todas maneras, como en general no usamos los comments, mejor partir con ellos desactivados.