东说念主工智能（AI）在重塑交易招聘步地的同期，其期骗的安全风险也激励温柔。近期曝光的麦当劳特准筹备商往日使用的AI招聘平台McHire的要紧安全破绽，便为此敲响了警钟。

　　据外媒7月11日报说念，该平台收受了Paradox.ai开荒的AI聊天机器东说念主“Olivia”（奥利维亚），用于采集求职者的个东说念主信息，包括姓名、电话、邮箱、住址等敏锐数据。然则，平台的安全驻防存在严重颓势。

　　孤立安全商榷员伊恩·卡罗尔（Ian Carroll）和萨姆·库里（Sam Curry）发现，仅需使用极其肤浅的用户名和密码组合（如“123456”），即可温情登录McHire的握住员界面。更严重的是，抨击者不仅能访谒系统中可能存储的约6400万份招聘纪录，还能赢得用于冒充求职者登录的身份考证令牌，以致稽查原始的聊天纪录实质。

　　《逐日经济新闻》记者向关联方了解到，此事与麦当劳中国无关。

　　当今，Paradox.ai和麦当劳已证据该破绽的存在，并在7月初完成了开荒使命。

　　6400万求职者数据“变透明”：“123456”30分钟攻陷AI招聘系统

　　麦当劳的AI招聘平台McHire使用名为“奥利维亚（Olivia）”的AI聊天机器东说念主来筛选求职者。这款由AI软件公司Paradox.ai开荒的器具，旨在简化招聘历程，采集求职者的干系姿色、简历和班次偏好，以致还会进行性情测试。然则，这个蓝本为进步效果和便利性贪图的器具，却出现了要紧信息安全破绽。

　　2025年6月30日，孤立安全商榷东说念主员伊恩·卡罗尔和萨姆·库里在麦当劳招聘系统McHire上发现了一个象征为“Paradox.ai职工”的握住员登录进口。该进口仍接受默许用户名和密码“123456”，且未启用任何双重身份考证。

　　卡罗尔之是以初始考核该系统，是因为他对麦当劳使用AI聊天机器东说念主和性情测试来筛选潜在雇员的决定感到意思。他说说念：“我仅仅以为与正常的招聘历程比较，这简直太反乌托邦了，对吧？恰是这点让我思深入考核。于是我初始肯求使命，收尾30分钟后，咱们尽然十足访谒了麦当劳多年来简直通盘的求职肯求。”

　　卡罗尔尝试了常见登录左证。他率先尝试用户名和密码均为“admin”，第二次尝试使用“123456”后，便得胜登录，十足限制了一个测试特准筹备商账户。通过修改API中的肯求东说念主ID值（一种IDOR破绽），他们稽查了数年积聚的、多达6400万份肯求的聊天纪录和个东说念主数据。

　　公开可访谒的数据包括：

　　姓名、电子邮件、电话号码、IP地址及部分家庭住址；

　　聊天历史纪录，包括性情测试回话和简历细则。

　　运道的是，显现的数据不触及财务数据或社会安全号码。然则，被显现的数据仍可能形成严重的蚁集垂钓风险。

　　Paradox.ai称“仅5东说念主受影响”，安全众人劝诫：AI使命流应纳入监管

　　相识到潜在数据显现领域后，上述商榷东说念主员立即启动暴露身手，于2025年6月30日好意思国东部时辰17:46干系Paradox.ai和麦当劳。麦当劳飞速证据陈诉，当日19:31即禁用默许握住左证。Paradox.ai证据通盘问题在2025年7月1日22:18前绝对措置，两家公司均示意将加强数据安全驻防。

　　麦当劳在声明中，将数据破绽归罪于其第三方供应商Paradox.ai。麦当劳称：“咱们对第三方供应商Paradox.ai的这种弗成接受的破绽感到失望。” 麦当劳进一步证实，在得知此问题后，他们“立即条款Paradox.ai开荒问题，并在收到陈诉确今日就措置了。”

　　Paradox.ai则示意，他们在收到警报后数小时内就禁用了受影响的测试账户，并在7月1日之前十足措置了破绽。该公司还启动了一项破绽赏金讨论，以发现改日的安全瑕疵。

图片开头：Paradox.ai官网

　　此外，Paradox.ai在其官网上发布了一篇博客著述称，应聘者信息从未在线上深入或公开，况兼这次事件中，仅五名应聘者的信息被稽查，且仅由安全商榷东说念主员访谒。该公司终末强调，“该事件仅影响一家机构（麦当劳），未波及Paradox其他客户。”

　　公共数据隐痛握住公司MineOS聚积首创东说念主兼CEO科比·尼桑驳斥称，“此事件警示企业，若在衰败稳当监督的情况下仓促部署面向客户的AI使命流，将使自身和数百万用户显现于无谓要的风险中。”

　　“问题不在于AI时代自身开云「中国」Kaiyun官网登录入口，而是衰败基本的安全驻防与治理机制。任何采集或处理个东说念主数据的AI系统，皆应与企业中枢业务系统罢黜疏通的隐痛保护、安全及访谒限制模范。”科比强调，“这意味着需要设跻身份考证、审计跟踪机制，并将其整合至举座风险使命流，而非放任其成为监管盲区。”