↓の件解決です。WEB-INF/flex/flex-config.xmlでセキュリティかかってやがった！！samples.warをそのまま使ったのがアウトのようです(T_T)

<remote-objects>の子要素<whitelist>がズバリAMFを通過させるかどうかの設定です。どんな接続も許可する場合は下記のように書けばOK。

    
        *
    

<source>タグの具体的な使い方はAMFで呼び出し先のJavaのパッケージ名を指定します。例えばorg.seasar.*と指定すると、org.seasar配下のパッケージしかAMFで呼び出せなくなります。これは私が懸念していた"AMFGatewayを公開されているのがバレたらサーバの中がいじり放題"というものを解決するものですね〜。FlashOOPでも発言しましたけど、FlashPlayerを使ってる限りはサンドボックスによってそういう不正な接続はできませんが、例えばS2OpenAMFのサンプルのようななんでも好きに呼び出しちゃうぞアプリを自前で作った場合(AMFを直接送信)はクラスパス上の全てのクラスを呼び出す事が(一応)可能です。例えばFileクラスをサービスとして(以下略)

注意！ドキュメントに↓と書いてあるとおり

We strongly recommend not allowing access to all source files
in production, since this exposes Java and Flex system classes.

外部に出ていないローカルな環境でのみ、かつ、設定が死ぬほど面倒な場合のみその設定は行うようにしましょう。でないとJavaとFlexのシステムクラスが外部から操作する事も可能になってしまいます。どっちにしろ、パッケージのトップを指定するくらいなんてことないので、最低限パッケージのトップを記述したい所です。とりあえず良い例：「org.* jp.* com.*」一番良くない例：「java.* flex.*」