关于阿里Arthas的安全疑问

阿里有个很牛的工具Arthas，可以用来查看监控jvm中变量的值。但是我又个安全疑问：

但是我有个疑问想请教下：如果一台机器上的tomcat已经在运行了，假设这台机器还没有安装arthas，这时我用wget下载这个jar并安装启动，这时就能查看tomcat jvm变量中的值了，不用重启tomcat是吗？如果可以的话，这样有没有安全隐患呢？例如：一个hacker能在host上执行命令，那么hacker可以download这个arthas并运行之，然后来查看程序jvm中可能的敏感信息，如果系统用到的各种key是明文在memeory中的，那么hacker可以读取key并传给自己，毕竟泄漏这些key是比搞挂一台server严重很多的问题。

我感觉Arthas不要用到产线。

TODO：自己动手做下测试。