ActiveX сам по себе не создает уязвимостей безопасности. Истории ужасов, связанные с ActiveX, на самом деле - это ужасные истории Internet Explorer. В плохие старые времена, прежде чем Microsoft стала мудрым к опасностям открытого Интернета, Internet Explorer с радостью загрузит компоненты ActiveX из Интернета и выполнит код компонента ActiveX изнутри браузера. Это, конечно же, зияющая дыра в безопасности. Просто обманите пользователя, чтобы перейти на ваш злонамеренный сайт, а затем выполнить произвольный код на своем компьютере.
Но это не то, что вы описываете. Для выполнения некоторых задач вы используете сторонний компонент по вашему выбору. Это совершенно другой сценарий. Теперь это не означает, что этот компонент не имеет каких-либо уязвимостей, но тот факт, что он потребляется с помощью ActiveX, не имеет к этому никакого отношения. Если у него есть уязвимости, не имеет значения, был ли он компонентом VCL, компонентом ActiveX или каким-либо другим типом компонента.
Не сосредотачивайтесь на архитектуре компонента. Это важно для реализации компонента.