Sobre seu "teste rápido" é que estaria vulnerável se retornar dados de outros usuários além do seu. Correto ? Pois você precisa "Impersonating" algum usuário.
De modo geral RLS é essencial mesmo.
2
1
Isso mesmo, tem que selecionar um usuário pra fazer a query como se fosse ele. É a forma mais fácil de ver quem pode acessar o que no banco de dados.