Я не думаю, что это проблема. Возможность идти в обратном направлении, то есть выполнять сценарий, исходящий из удаленной зоны в локальную зону, называется "Cross Zone Scripting". Фактически самый недавний 0-day против IE использует межзонный скриптинг для удаленного выполнения кода.
Если вы посмотрите на ограничения для Adobe Air, вы увидите, что он менее строг, чем Same Origin Policy, когда дело доходит до доступа к удаленным ресурсам. Я не могу придумать сценарий, в котором это было бы полезно для злоумышленника. Особенно если сравнивать с другим локально выполняемым кодом, таким как исполняемый файл, написанный на C++.
Может ли это быть полезным? Похоже, подразумевается, что когда он блокирует локальный контент, пользователь получает соответствующее уведомление, но похоже, что он просто молча терпит неудачу.