Verifique a capacidade CASL antes de carregar uma entidade

Tenho as seguintes habilidades definidas em CaslAbilityFactory:

    if (auth.isAdmin) {
      can(Action.Create, User);
      can(Action.Read, "all");
      can(Action.Manage, User);
      can(Action.Update, User, ["email", "firstName", "lastName", "role"]);

      can(Action.Delete, User);
      cannot(Action.Delete, User, isOwner);
    }

    if (auth.isUser) {
      can([Action.Read, Action.Update], User, isOwner);
    }

Então, defini o seguinte resolver:

  @Mutation(() => User)
  @UseGuards(PoliciesGuard)
  @CheckPolicies(ability => ability.can(Action.Update, User))
  async updateUser(
    @Args("input") input: UpdateUserInput,
    @CurrentAuth() auth,
  ): Promise<User> {
    const ability = this.caslAbilityFactory.createForAuth(auth);

    if (ability.cannot(Action.Update, { id: input.id }) {
      throw new ForbiddenException();
    }

    return this.usersService.update(input.id, input);
  }

O @CheckPoliciesdecorador garante corretamente que apenas um usuário com a Updateação para usuários pode chamá-lo, mas preciso afirmar que para este específico, posso atualizá-lo? Se o solicitante for o proprietário, ele pode. Mas como você verifica isso antes de carregar o usuário?

Uma solução óbvia é carregar o usuário, executar a verificação e, então, executar a atualização. Outra solução mais hackeada seria, de alguma forma, fazer o cast new User({ id })e executar a verificação.

Existe uma solução melhor para isso?

Obrigado,