已经发现有人在问这个问题了，官方偷偷的在后台加了个“关联无需确认”的选项，然后默认是开。。

你们加功能可以，但不要静默打开啊喂。

在这个基础之上，我发现在公众号的关联列表里，查看已关联小程序详情的时候，除了可以看到appid，还能看到对面的小程序的登陆邮箱，这是多大的安全风险啊！

相当于我有公众号，随便去搜一个知名小程序，关联（划重点！这里现在不需要小程序的管理员确认了！），然后就能拿到小程序的后台登录账号了！！尽管后面登录还需要扫码，只是暴露个账号而已，但这也是起码的隐私吧。。