Они были добавлены к внутренней константе BLACKLIST_FOR_SERIALIZATION, чтобы обеспечить более безопасные значения по умолчанию для моделей Devise.
Массив можно изменить, чтобы удалить те атрибуты, которые вам нужны, из черного списка.
Согласно этому ответу прямо здесь. Для этого у Devise есть BLACKLIST_FOR_SERIALIZATION константа. Проверьте это в исходном коде: https://github.com/plataformatec/devise/blob/master/lib/devise/models/authenticatable.rb#L59
Рекомендуется не изменять его в соответствии с этим комментарием одним из авторов devise.
Я не думаю, что BLACKLIST_FOR_SERIALIZATION следует поощрять к изменению. Это не опция конфигурации, а внутренняя константа, обеспечивающая более безопасные значения по умолчанию для моделей Devise.