微信上线了【账号切换】这个功能已经有一段时间了，本来都不想多嘴的，因为确实挺好用，很便捷，这种设计本意是提升工作效率，却忽视一个安全漏洞——异常登录状态的权限穿透风险。

举例，正常状态下，你因为安全验证问题，账号A扫码后是需要输入密码的，但是你可以通过账号B扫码登录后再切换到账号A，那么你这个所谓的安全机制不是成摆设了？



当前机制允许公众号管理员或者运营者、小程序管理员或者项目成员通过正常登录状态的账号直接切换至其他异常账号（需要二次验证的账号），这种操作实质上是将登录凭证的信任链条进行了横向延伸。在安全机制下可能会因为太久没登录、登录地点异常或者不同浏览器登录等等，都有可能触发安全机制，扫码后是需要你输入密码才能登录。系统本应触发的二次验证机制被绕开，通过"权限摆渡"的方式渗透其他关联账号，这个，设计这个功能的时候不可能没想到吧？