Wenn ein SBMJOB ... USER(XYZ) übergeben wird, benötigt der submittende User natürlich eine *USE-Berechtigung an dem User XYZ !
Was hindert einen Hacker daran dies auch zu tun ?

Das einzig sinnvolle ist, kein Batch-PGM OHNE Aufrufparameter zu erstellen.
Ein Hacker weiß selten, welche Parameter benötigt werden. Dies läßt sich auch nicht herausfinden.

PS:
Bei ILE-Programmen mit Parametern läßt sich per DSPPGM die Anzahl der Parameter nicht mehr feststellen, sie sind immer 0 bis 255.
Bei OPM-CLP's ist die Anzahl fest, bei OPM-HLL's immer 0 bis Anzahl-Parameter.
ILE würde das Herausfinden der Aufrufe also erschweren.