Come posso evitare l'iniezione di SQL in questa query EF Core?

Poiché EF Core non esegue attualmente il gruppo in base alle query nel database, sto utilizzando la seguente query per completare il lavoro ( InvoiceQuery è un tipo DbQuery ):

long merchantId = 177;
var invTokens = new List<string> {"qasas", "efsac"};
string inClause = string.Join(",", invTokens);

string query = $@"SELECT i.Token, i.Balance, COALESCE(SUM(i.Amount), 0) AS ProcessingAmount
                  FROM inv.Invoices i
                  WHERE i.Token IN ({inClause})
                    AND i.MerchantId = {merchantId} 
                    AND i.Status = {(int)InvoiceStatus.Scheduled}
                  GROUP BY i.Token, i.Balance";

return await dbContext.InvoicesQuery.FromSql(query).ToListAsync();

Il codice sopra funziona perfettamente, ma non mi piace perché mi dà un avvertimento di una "possibile vulnerabilità nell'iniezione SQL". So che posso usare un #pragma per sopprimere questo avviso (è quello che sto attualmente usando).

Ho provato a passare la query e fornire i parametri al metodo FromSql e funziona, ma il parametro che va nella clausola IN non viene mappato correttamente.

$"'{string.Join("', '", invTokens)}'" provato usando $"'{string.Join("', '", invTokens)}'" ma non ha funzionato.

Qualsiasi aiuto sarebbe apprezzato