A única coisa que estava faltando era a fase de processamento, na qual essa regra deve ser colocada para que funcione. então a regra atual está aqui.
SecRule REQUEST_URI|ARGS|REQUEST_BODY "km0ae9gr6m" "phase:4,log,deny,msg:'Access Denied'"
Por essa regra, você pode bloquear facilmente qualquer tipo de resposta que você não queira que nenhum usuário veja. O Modsecurity irá detectá-lo em seu caminho para o servidor e irá bloqueá-lo.