文章总结： 本文披露了InstagramNotes存在音频泄露漏洞。用户通过浏览器开发者工具提取视频源标签中的URL，即可在新标签页播放带完整音频的视频，绕过了前端的强制静音机制。此缺陷导致私人对话等背景音暴露。建议用户谨慎上传视频，平台应修复此前端限制失效问题。 综合评分： 69 文章分类： 漏洞分析,漏洞预警,数据泄露,WEB安全,应用安全

Instagram Notes 音频泄露（通过 URL 提取）

TtTeam

2026年3月27日 08:45 中国香港

任何用户都可以利用该漏洞从笔记中提取原始视频文件并访问其背景音频，而这些音频原本不应公开。这绕过了笔记功能的隐私保护机制，该机制规定视频应在静默状态下播放。

影响力

通过检查视频元素并复制视频的直接URL，任何用户都可以获取原始视频（包括音频），即使Instagram Notes的设计初衷是抑制音频播放。这导致用户上传的私人对话、环境音或无意间包含的背景内容暴露无遗。

步骤

1. 打开 Instagram 网页版并观看任意视频。
2. 打开浏览器开发者工具（右键单击 > 检查）。
3. 找到 <video>或 <source>标签并复制srcURL。
4. 在新标签页中粘贴网址。
5. 原视频播放时带有完整音频，绕过了前端的静音设计。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《Instagram Notes 音频泄露（通过 URL 提取）》