thhhyud
站在用户角度来说,
人工智能(AI)在重塑商业招聘模式的同时,其应用的稳妥风险也引发关注。近期曝光的麦当劳特许经营商广泛运用的AI招聘平台McHire的重大稳妥漏洞,便为此敲响了警钟。
尤其值得一提的是,
据外媒7月11日报道,该平台采用了Paradox.ai开发的AI聊天机器人“Olivia”(奥利维亚),用于收集求职者的个人信息,包括姓名、电话、邮箱、住址等敏 众汇外汇代理 感数据。然而,平台的稳妥防护存在严重缺陷。
综上所述,
独立稳妥研究员伊恩·卡罗尔(Ian Carroll)和萨姆·库里(Sam Curry)发现,仅需运用极其轻松的客户名和密码组合(如“123456”),即可轻易访问账号McHire的管理员画面。更严重的是,攻击者不仅能访问系统中可能存储的约6400万份招聘记录,还能获取用于冒充求职者访问账号的身份验证令牌,甚至查看原始的聊天记录信息。
1点资讯行业评论:
《每日经济新闻》记者向相关方了解到,此事与麦当劳中国无关。
令人惊讶的是,
目前,Paradox.ai和麦当劳已确认该漏洞的存在,并在7月初完成了修复工作。
站在用户角度来说,
图片来源:视觉中国
尤其值得一提的是,
6400万求职者数据“变透明”:“123456”30分钟攻陷AI招聘系统
据相关资料显示,
麦当劳的AI招聘平台McHire运用名为“奥利维亚(Olivia)”的AI聊天机器人来筛选求职者。这款由AI软件公司Paradox.ai开发的插件,旨在简化招聘流程,收集求职者的联系方法、简历和班次偏好,甚至还会进行性格测试。然而,这个原本为提高效率和便利性设计的插件,却出现了重大信息稳妥漏洞。
不可忽视的是,
2025年6月30日,独立稳妥研究人员伊恩·卡罗尔和萨姆·库里在麦当劳招聘系统McHire上发现了一个标记为“Paradox.ai员工”的管理员访问账号入 TMGM官网 口。该入口仍接受默认客户名和密码“123456”,且未启用任何双重身份验证。
卡罗尔之故而启动调查该系统,是考虑到他对麦当劳运用AI聊天机器人和性格测试来筛选潜在雇员的决定感到好奇。他说道:“我只是觉得与正常的招聘流程相比,这简直太反乌托邦了,对吧?正是这点让我想深入调查。于是我启动申请工作,结果30分钟后,咱们竟然完全访问了麦当劳多年来几乎所有的求职申请。”
展开全文
卡罗尔尝试了常见访问账号凭证。他首先尝试客户名和密码均为“admin”,第二次尝试运用“123456”后,便成功访问账号,完全控制了一个测试特许经营商账户。通过修改API中的申请人ID值(一种IDOR漏洞),他们查看了数年积累的、多达6400万份申请的聊天记录和个人数据。
尤其值得一提的是,
公开可访问的数据包括:
通常情况下,
姓名、电子邮件、电话号码、IP地址及部分家庭住址;
聊天历史记录,包括性格测试回答和简历详情。
庆幸的是,暴露的数据不涉及财务数据或社会稳妥号码。然而,被暴露的数据仍可能造成严重的网络钓鱼风险。
1点资讯用户评价:
Paradox.ai称“仅5人受影响”,稳妥专家警告:AI工作流应纳入监管
站在用户角度来说,
意识到潜在数据暴露规模后,上述研究人员立即启动披露程序,于2025年6月30日美国东部时间17:46联系Paradox.ai和麦当劳。麦当劳迅速确认报告,当日19:31即禁用默认管理凭证。Paradox.ai确认所有疑问在2025年7月1日22:18前彻底化解,两家公司均表示将加强数据稳妥防护。
麦当劳在声明中,将数据漏洞归咎于其第三方供应商Paradox.ai。麦当劳称:“咱们对第三方供应商Paradox.ai的这种不可接受的漏洞感到失望。” 麦当劳进一步证实,在得知此疑问后,他们“立即要求Paradox.ai修复疑问,并在收到报告的当天就化解了。”
1点资讯行业评论:
Paradox.ai则表示,他们在收到警报后数小时内就禁用了受影响的测试账户,并在7月1日之前完全化解了漏洞。该公司还启动了一项漏洞赏金计划,以发现未来的稳妥弱点。
概括一下,
图片来源:Paradox.ai官网
来自1点资讯官网:
此外,Paradox.ai在其官网上发布了一篇博客帖子称,应聘者信息从未在线上泄露或公开,并且此次事件中,仅五名应聘者的信息被查看,且仅由稳妥研究人员访问。该公司最后强调,“该事件仅影响一家机构(麦当劳),未波及Paradox其他客户。”
全球数据隐私管理公司MineOS联合创始人兼CEO科比·尼桑评论称,“此事件警示企业,若在缺乏适当监督的情况下仓促部署面向客户的AI工作流,将使自身和数百万客户暴露于不必要的风险中。”
但实际上,
“疑问不在于AI技术本身,而是缺乏基本的稳妥防护与治理机制。任何收集或处理个人数据的AI系统,都应与企业核心业务系统遵循相同的隐私保护、稳妥及访问控制标准。”科比强调,“这意味着需要建立身份验证、审计追踪机制,并将其整合至整体风险工作流,而非放任其成为监管盲区。”
大家常常忽略的是,
每日经济新闻
