В контроллере Api::Tasks нет проверки что пользователь которые запрашивает данные в "show" принадлежит проекту, в котором запрашиваются данные, нужно:
1) Создать новую политику https://github.com/palkan/action_policy
rails g action_policy:policy api_task
2) Создать проверку для метод, примерно проверка выглядит
record.project.members.include?(user)
3) В ApiTaskController#show после получения перменной task взывать политику
В контроллере Api::Tasks нет проверки что пользователь которые запрашивает данные в "show" принадлежит проекту, в котором запрашиваются данные, нужно: 1) Создать новую политику https://github.com/palkan/action_policy
2) Создать проверку для метод, примерно проверка выглядит
3) В ApiTaskController#show после получения перменной task взывать политику
4) Написать тесты