-
麦当劳
麦当劳的AI招聘平台被曝重大漏洞,一串弱密码可看6400万条聊天记录,招聘机器人背后的安全漏洞警示了什么?
如果你今天想在麦当劳找一份工作,很可能会“遇到”Olivia。Olivia并不是人类,而是一个AI聊天机器人。她会负责筛选求职者、收集联系信息与简历,引导完成性格测试,有时候还会反复误解最基本的问题,让人“崩溃”。直到上周,这个由AI软件公司 Paradox.ai 构建、支撑 Olivia 的平台,存在一些荒谬的基本安全漏洞。因此,几乎任何黑客都可以用极其简单的方式(例如输入用户名和密码“123456”)访问麦当劳所有应聘者与Olivia的对话记录,以及其中包含的个人信息。
2025年7月9日,美国科技媒体 Wired 报道了一起令人震惊的安全事件:由 Paradox.ai 为麦当劳提供的 AI 招聘平台 McHire 被发现存在严重安全漏洞。研究人员 Ian Carroll 和 Sam Curry 仅用“123456”这组常见密码,就成功进入了平台后台,并访问了多达 6400 万条应聘者的聊天与个人数据记录。
这起事件不仅揭示出一家全球快餐巨头在供应链数据管理方面的重大疏漏,也成为 AI 在人力资源应用中“黑箱、安全、合规”问题的现实缩影。
一、事件回顾:AI 招聘系统,岂能如此“裸奔”?
McHire 是 Paradox.ai 为麦当劳及其全球加盟门店提供的智能招聘平台,其核心功能是通过 AI 聊天机器人 “Olivia” 自动与应聘者进行沟通、筛选和性格测试。Olivia 被麦当劳视为提效利器,但它的“智商”并未能预料到“安全”才是立足之本。
根据 Wired 报道,两位白帽黑客仅通过一个早已弃用却未关闭的测试账号,成功绕过验证机制,获得了后台系统的管理员权限。不仅如此,他们还发现:
该账户使用的是“123456”密码;
系统未启用任何双因素认证(MFA);
应聘者数据可以通过修改 ID 参数被穷举访问。
最终,他们验证了系统中至少存在 6400万条聊天记录,含有应聘者姓名、电话、邮箱和申请时间等信息。
Carroll 表示,起初是看到 Reddit 上有人抱怨 Olivia 聊天机器人不断误解应聘者的问题,浪费了他们时间,引发他的兴趣。他与 Curry 随即开始测试该系统是否存在“提示注入(prompt injection)”漏洞,即通过输入特定指令绕过大型语言模型的安全防护。但他们并未发现该漏洞,转而尝试查看 McHire.com 网站是否存在其他问题。
他们注意到一个供 Paradox.ai 员工登录的后台链接,于是尝试了两个最常见的登录组合:“admin / admin”以及“123456 / 123456”。第二组竟然成功登录。
更令人震惊的是,该系统竟没有设置多因素验证。通过这个入口,Carroll 和 Curry 获得了对一个麦当劳“测试门店”的管理员权限。该门店并不真实存在,其“员工”名单上列出的其实是 Paradox.ai 的开发人员,看似位于越南。
他们在平台中找到一个职位发布链接,点击后提交了应聘,随后就能在后台系统中看到自己的申请记录。Paradox.ai 后续在博客中表示,该测试账户“自2019年后未再使用,早该停用”。
但是你知道吗,第二个更加致命漏洞:修改申请编号即可查看他人数据,这个是非常低级的错误。
更严重的是,他们在查看自己的应聘信息时注意到,只要修改申请编号(从6400多万向下逐条尝试),就能看到他人应聘记录,包括聊天内容与联系方式。
Carroll 和 Curry 出于道德与法律考量,仅对少量数据进行了检查。Paradox.ai 证实,他们仅查看了7条记录,其中5条包含真实的个人信息。
随后联系了其中2位应聘者,对方确认他们在指定日期应聘过麦当劳。
二、Paradox.ai的回应:我们确实做错了,也正在承担责任
在事件曝光当天,Paradox.ai 发布了题为《Responsible Security Update》的官方博客回应,承认问题的存在并做出如下说明:
漏洞已于第一时间修复;
问题源于一个“2019年后未再登录的测试账号”;
除了两名研究人员外,没有任何第三方滥用记录;
公司将立即启动漏洞赏金计划(Bug Bounty Program);
所有账户结构、访问流程、身份认证机制将彻底重构;
承诺将“安全文化嵌入组织的每一个流程”。
Paradox.ai 首席法务官 Stephanie King 对媒体表示:“我们并没有试图逃避这个问题,而是选择拥有它(We own this)。”
三、麦当劳回应:我们已责令第三方立即整改
麦当劳方面迅速表态,将此次事件的责任归咎于第三方技术供应商 Paradox.ai,并强调:
“我们对这一不可接受的漏洞深感失望,已经在得知后立即要求其修复。我们会持续对所有合作伙伴提出最严格的数据安全要求。”
值得注意的是,麦当劳近年来高度依赖 AI 来处理大量基层岗位招聘,尤其是在美国本土和全球主要市场的门店中,AI 招聘几乎已成为标配。这也意味着:一旦系统失守,波及面远不止一个“测试账号”。
四、行业震荡:不仅是麦当劳,每个 HR SaaS 都应自省
这一事件引发的影响远超一家公司或一个供应商,HRTechChina在2024年就发起了HR科技公司和企业负责任AI的倡议。
1. AI招聘系统的“合规黑箱”被撕开
在实际操作中,大量企业购买或租用第三方招聘平台,却缺乏对系统架构与数据路径的深度了解。尤其在使用 AI 的场景中,聊天记录、评估结果、筛选标准等都不够透明,甚至连系统是否具备多因素验证、数据是否加密存储都一无所知。
2. “人+AI”并非万能组合,安全才是信任基础
Olivia 再智能,也无法阻止“123456”这个账号问题带来的巨大后果。人力资源作为组织最靠近“人”的业务单元,应当比任何部门都更警觉于:AI 是否值得托付?谁来负责出事之后的“人道成本”?
3. 白帽研究员为何成为安全底线?
讽刺的是,这起重大安全漏洞并非通过正式测试流程发现,而是通过两个独立安全研究人员的“业余探索”曝光。若他们没有负责任地披露,企业甚至可能多年后仍处于裸奔状态。HR Tech 行业是否应当建立更正式、更可持续的第三方审计与通报机制?
五、下一步:不是追责,而是行动
我们赞赏 Paradox.ai 在风波后的公开承认和快速应对,但也要清醒地认识到:
AI 正在成为人力资源基础设施的一部分,我们不能再用“实验态度”对待它。
为此,我们建议:
企业用户(甲方 HR、IT、法务):
在选择 AI 招聘工具时,必须将安全审计列入采购流程;
要求供应商提供 SOC 2、ISO 27001、GDPR/CCPA 合规证书;
明确系统数据访问结构,审查是否具备 MFA、加密、访问日志等机制。
AI HR SaaS 服务商:
不仅要“修补系统”,更要“重塑文化”;
应建立“安全透明公约”,每年主动向客户披露风险清单;
将漏洞赏金制度常态化,引入更多白帽力量进行监督。
行业协会与政策制定者:
制定AI招聘领域的数据最小使用原则;
建立AI决策可解释性评估机制;
鼓励建立第三方AI招聘平台认证体系。
六、负责任的AI,不只是PR口号
AI技术的迅猛发展已无可避免,但责任意识不能“滞后部署”。招聘是人与组织建立信任的起点,而信任建立的基础从来不只是效率、算法和界面——更是对每一份数据的尊重、保护与敬畏。
“123456”只是个密码,但也像是一记响亮耳光,提醒整个行业:HR科技的未来,不仅属于聪明的 AI,更属于负责任的 AI。
附录:推动HR工作中实践负责任AI的倡议书
-
麦当劳
Josh Bersin:如何避免公司过度招聘?
本周,我们见证了多年来最令人惊叹的商业故事之一。Meta 公司宣布裁员 22%,收入增长 25%,净利润达到 140 亿美元,同比增长 203%。这意味着 Meta 这家市值 1600 多亿美元的公司创造了 35% 的税后净利润(高于谷歌、苹果或微软)。
这是相当惊人的。公司几乎解雇了四分之一的员工,而财务业绩却直线上升(Meta 的市值在周五上涨了 17 亿美元)。
我们从中学到了什么?
很简单,公司不需要招聘那么多人,也能以超常规的速度发展。
公司为何过度招聘?
让我们退一步。为什么公司会过度招聘,如何避免?未来几年,随着就业市场更加紧张,公司需要在员工人数没有直线增长的情况下实现增长。我们正在进入这样一个时代:"人员过多的公司 "的业绩将低于精干的公司,这就要求我们改变思维。
顺便提一下,普华永道 2024 年首席执行官调查发现,C级执行官认为公司 40% 的时间浪费在了非必要事项上。而十大问题中有三个与人力资源有关。同一份调查还显示,三分之二的首席执行官认为人工智能将把行政效率提高 5%或更多,我对此表示赞同。
这也是我在我们的《2024 预测》报告中谈到 "全球寻求提高生产力 "的原因。我们正在进入这样一个时代:员工人均收入更高的小公司将超越、操纵和超越员工人数众多的竞争对手。由于层级过多和招聘方面的挑战,那些没有学会如何集中团队(和人数)的公司将会落后。
这种新战略是什么样的呢?这里有五大理念。
1. 不要再认为招聘是一种增长战略。
许多领导者仍然认为,"招聘更多的人可以使公司发展壮大"。换句话说,如果你想 "快速做大"(硅谷的口头禅),你就得尽可能快地招聘。更多的销售人员会带来更多的收入。更多的工程师会生产出更多的产品。更多的营销人员将产生更多的销售线索。更多的服务人员将服务更多的客户。
这些都是错误的假设。在每一个职能领域,都有表现优异的员工(能力超强的员工)和表现较差的员工。当你急于招聘时,你就会迫使招聘人员引进 "体力",而不是关注是否合适。结果就是我所说的 "每次招聘的生产力都在下降"。每多招一个人,就会拖累其他已经在职的人。
是的,公司必须替换离职人员和增加员工。但是,当公司快速招聘员工时,大量的入职培训和新员工会迫使经理们放慢脚步,员工们放慢脚步,许多现有流程也会放慢脚步。这意味着每增加一名 "新员工 "都会降低整体生产率。
我们最近采访了领先的电池制造商之一松下公司。高级人力资源领导通过分析发现,部门经理过度雇佣员工,导致产出放缓,而员工却预订了更多的加班时间。虽然经理们并不同意(见 2),但当她分享数据时,他们突然意识到了问题所在。
数据显示,一旦生产线上的排班和人员超过 50 人,生产率就会下降。这是由于收益递减曲线的缘故,即增加的工人超过了最佳点,每个工人的产出就会减少。
人员过多导致成本增加,同时也造成了更高的次品率和材料浪费,因为生产线上的人越多并不一定就意味着效率更高、质量更好。生产经理们直到直接看到数据后才相信这一点。
在这一领域,医疗服务提供者是最先进的。鉴于护士和临床专业人员的巨大缺口(未来三年内缺口将超过 200 万),这些公司将行政工作自动化,将临床护理分解为亚专科,并培训护士以最高执照进行操作。
例如,Providence和Stanford Healthcare精心设计了护理角色(通过减少行政工作和使用人工智能进行调度),在不降低患者治疗效果的情况下减少了每名患者的人员配置。
如何了解自己在这条曲线上的位置?
您可以查看每位员工的收入或产出。当这一指标开始下降时,你就处于曲线的右侧。而在许多组织中,我们已经开始走下坡路了。
我经常比较细分市场中同行公司的每名员工收入,数字较低的公司几乎总是市场中的落后者。顺便说一句,这就是为什么私募股权公司几乎总是在收购一家公司后立即让员工离职。
2. 重新定义人力资源部门处理员工需求的方式
我们面临的第二个问题是大多数公司的招聘方式。
据我所知,几乎每家公司都有一个年度或季度人数分配流程。首席财务官知道经理们对招聘的需求是无限的,因此会根据各业务部门的财务状况 "释放人数"。这些请购单被分发给经理,人力资源团队开始工作。
然后,人力资源部门就像接单员一样开展工作,招聘组织则开始处理请购单。我们发布招聘启事,寻找候选人,购买广告,聘请招聘人员。我们开始筛选、面试和评估候选人。然后是大量的日程安排、候选人讨论和决策工作。
所有这些工作都耗费了宝贵的时间,被首席执行官们评为 "最官僚 "流程的第三名,但却没有经过深思熟虑。
这个职位是否应该由内部候选人担任?这份工作应该是全职的,还是可以分担的兼职工作?这项工作是否应该外包,因为它不具有战略性?这个团队的人员流动率是否很高,我们是否应该讨论一下为什么这个职位还要空缺?
这些都是需要进行的重要战略对话,除非有高级人力资源业务合作伙伴(或人才顾问)参与,否则不会真正进行。招聘经理是老板,他们可能不希望人力资源部门的人问他们关于如何管理团队的各种问题。
那么会发生什么呢?人才招聘团队急于填补职位空缺,几乎没有机会讨论内部发展、岗位轮换、兼职或其他重要选择。没有一个真正的流程来考虑我们如何 "设计 "这个团队以实现增长,而这个团队却需要更多的人。
正如我们在系统性人力资源研究中讨论的那样,如果我们采用 4R(招聘、留用、再培训、再设计)方法进行招聘,这一切都可以避免。这也是为什么越来越多的招聘团队开始与L&D整合,公司开始购买人才市场平台,大多数CHRO都在大力推动提高内部招聘比例和建立内部职业管理战略。
3. 为内部流动建立战略、文化和一套工具
很多年前,我就意识到可以把公司分为两种类型:一种是信奉 "不上不下 "工作模式的公司(他们经常使用叠加排名),另一种是信奉 "辅导和发展 "工作模式的公司。
第一类信奉 "有竞争力的绩效",总是从绩效的角度来看待员工。我们把员工分成不同的绩效组,当出现新的机会时,我们就把重点放在这些 "HiPO "的重要职位上。
第二类公司相信 "持续学习 "和成长心态,他们为每个人提供成长机会、发展任务和辅导。从某种意义上说,这些公司的经营理念就是 "任何人都可以发展得更好",他们专注于永无止境的技能发展。
如今,在我们研究的公司中,超过三分之二的公司属于第二类,但其中大多数公司的 "思维和运营 "方式与第一类相同。因此,在全球范围内,我们正从 "要么表现好,要么被解雇 "的模式向 "表现好,我们就帮你成长 "的模式过渡。
那么,在劳动力短缺的情况下(现在平均需要 45 天才能招到人,有些职位甚至需要 70 天以上),唯一的运作方式就是转向第二种模式。得益于人工智能工具和人才智能,我们现在可以发现,拥有市场营销数学学位的营销经理可以在相当短的时间内成为数据科学家。
当然,并不是每个人都想转行,我们中的大多数人都害怕做新的事情。但是,如果你想让公司发展壮大,而不需要招聘和流失人才,你想把员工从业绩不佳的产品领域调到增长领域,你就必须让这一做法奏效。人才流动性强的结果是什么?你不必周期性地招聘(和解雇)员工,你可以培养深厚而持久的技能,工作满意度和留任率也会直线上升。
4. 重新定义管理者的角色
从广义上讲,有两种管理模式:一种是作为主管的管理者,另一种是作为 "工作教练 "的管理者。虽然这因工作和角色而异,但高效率的公司很少有既不 "管事 "又不 "做事 "的领导者。
正如 WL Gore 公司的人力资源领导多年前告诉我的那样(该公司是扁平化高效管理的先驱),"管理者管理项目,员工管理自己"。换句话说,如果你想避免由中层管理人员组成的臃肿的官僚机构,就必须扩大控制范围,并将 "管理 "定义为辅导、项目领导、发展和协调。
当你这样做时,人们就会挺身而出,在团队中担任领导职务。从某种意义上说,解放生产力的方法就是 "少管理,多领导"。
我们最新的领导力研究发现,伟大的领导者注重远见、灵感、专注和变革。这些都是特殊人士的角色,他们能够设定方向,并帮助他人找出实现目标的方法。他们调整团队,帮助人们避免浪费时间,并明确分配责任。他们拥护并鼓励变革,以身作则,始终帮助和指导他人。
虽然这些想法都很好理解,但快速招聘往往使这成为不可能。当我在 "快速招聘"(而非 "快速增长")的公司工作时,我发现经理们在入职、培训、指导和解决问题等人事问题上疲于奔命。如果公司发展缓慢,并保持较宽的控制范围,就会发现同事们会挺身而出,承担起这些任务。这有助于公司的发展。
再次回到医疗保健领域。一个护士长有几十个人向她(或他)汇报工作,这并不罕见,因为这些员工训练有素、工作明确、积极性高。这就是一个高度可扩展模式的例子,我们每个人都必须一直努力实现这种转变。
5. 聚焦核心
避免 "人员膨胀 "的最后一个也是最重要的一个方法就是专注。我的经验是,组织(团队或业务部门)只能同时专注于两三件事。
但专注于什么呢?大多数大公司都有几十个项目、上百种产品,业务部门遍布世界各地。那么在我们的人力资源领域,这就意味着要做我常说的 "清理厨房抽屉"。如今,利用新的人工智能工具,我们可以将精力集中在少数重要的事情上。
上周,我们会见了几个人力资源领导团队,其中许多人都有 20 个或更多的项目。虽然这听起来雄心勃勃,但实际上却造成了效率低下。你们应该作为一个领导团队聚在一起,决定哪些是必要的,哪些是不重要的。当 Meta 公司解雇 22% 的员工时,我猜很多项目都停滞不前了。尽管这很痛苦(每项重大计划都有一个发起人),但它却能促进增长、盈利和创新。
多年前,在 Sybase(最初是一家高性能数据库公司),我们进入了一个失去重心的时期。公司当时正在开发工具、中间件、行业解决方案和专业服务。高层领导认为,"成为一家更大的公司会更好"。但遗憾的是,事实并非如此。
由于失去了对核心数据库的关注,微软和甲骨文迎头赶上。很快,"箭在弦上,不得不发",我们的销售和市场营销被分散,最终公司被出售。
去年,我们采访了麦当劳的招聘团队,公司随着年轻人的职业发展不断招聘新员工。通过 "还原论思维",在 Paradox 的帮助下,他们将店面职位的招聘时间从 25 天缩短到了 6 天。这相当于减少了 75% 的工作量。因此,麦当劳的招聘团队可以专注于招聘质量、目标定位、留住人才和店内职位管理。对于麦当劳这家招聘世界上最难找职位的公司来说,这简直就是一个奇迹。
公司有数以百计的机会可以集中精力。与你的团队聚在一起,优先考虑真正重要的事情。当百事可乐公司询问他们的员工,在大流行病期间,公司 "最官僚、最浪费时间的流程 "是什么时(他们使用了一种被称为 "流程粉碎机 "的众包工具),绩效管理被评为最糟糕的流程。每家公司都有碍事的地方,今年就应该指出来。
底线:进行对话
底线是这样的。对于什么是最重要的,哪个团队过于庞大,最初没有人会达成一致。但你们必须进行对话。
在当今的经济形势下,招聘比以往任何时候都难,人员过多的公司只会表现不佳。请牢记 "少即是多",帮助您的整个领导团队思考如何提高生产力、减少人员和集中精力。
-
麦当劳
您现在可以使用Amazon Alexa和Google Assistant在麦当劳申请工作
麦当劳在全球雇佣了近200万名员工,该公司计划在亚马逊Alexa的帮助下雇佣更多员工。
麦当劳宣布,工人现在可以通过使用Amazon Alexa或Google Assistant在快餐巨头中申请工作,这是其在麦当劳全球招聘活动中的一部分。感兴趣的工作人员可以使用适用于Alexa和Google Assistant的语音应用Apply Thru,说“ Alexa,帮助我在麦当劳找到工作”或“确定Google,与McDonald’s Apply Thru谈谈。”
申请通过要求申请人提供基本信息,包括他们的姓名,感兴趣的工作领域和位置。它还说明了麦当劳在申请人所在地区的职位,然后在网上通过短信发送到官方申请的链接。
麦当劳声称这相当于“世界上第一个语音启动的应用程序。麦当劳执行副总裁兼首席人力官戴维·费尔赫斯特(David Fairhurst)在一份声明中说:“我们必须继续创新,并考虑创造力,在这种情况下,应采用开创性的方式在他们已经使用过的设备上与潜在的求职者会面,例如Alexa,” ,“ Alexa具有我们在团队中寻求的许多素质,如友好、响应迅速和有趣。我期待通过Alexa简化我们的申请流程。”
目前,该应用程序可用于美国,澳大利亚,加拿大,法国,德国,爱尔兰,意大利,西班牙和英国的工人,但预计将在不久的将来扩展到其他国家。
“ Alexa使生活更轻松,我们很高兴看到麦当劳利用语音为客户创建一个更简单,更方便的工作申请流程,” Alexa副总裁Steve Rabuchin在一份声明中说。“有了Apply Thru,客户可以在离他最近的麦当劳餐厅开始工作,而他们要做的就是问。”
该消息是在工会支持的组织争取15美元的抗议和罢工中进行的,这是麦当劳如何将技术整合到其商业模式中的最新例证。
根据《华尔街日报》的报道,麦当劳还在设计声控驱动器和机器人油炸机。
以上由AI翻译,仅供参考!
作者:Abigail Hess
来源:https://www.cnbc.com/2019/09/25/you-can-apply-for-a-job-at-mcdonalds-using-alexa-and-google-assistant.html
扫一扫 加微信
hrtechchina
