我不明白这些论文中的某些观点。代理具有无限制的内存访问权限 -> 攻击者提示注入代理以访问它并发现用户的敏感信息 -> 皮卡丘脸。这有什么令人惊讶的？没有访问控制来防止这种情况。