-
McDonald’s
麦当劳的AI招聘平台被曝重大漏洞,一串弱密码可看6400万条聊天记录,招聘机器人背后的安全漏洞警示了什么?
如果你今天想在麦当劳找一份工作,很可能会“遇到”Olivia。Olivia并不是人类,而是一个AI聊天机器人。她会负责筛选求职者、收集联系信息与简历,引导完成性格测试,有时候还会反复误解最基本的问题,让人“崩溃”。直到上周,这个由AI软件公司 Paradox.ai 构建、支撑 Olivia 的平台,存在一些荒谬的基本安全漏洞。因此,几乎任何黑客都可以用极其简单的方式(例如输入用户名和密码“123456”)访问麦当劳所有应聘者与Olivia的对话记录,以及其中包含的个人信息。
2025年7月9日,美国科技媒体 Wired 报道了一起令人震惊的安全事件:由 Paradox.ai 为麦当劳提供的 AI 招聘平台 McHire 被发现存在严重安全漏洞。研究人员 Ian Carroll 和 Sam Curry 仅用“123456”这组常见密码,就成功进入了平台后台,并访问了多达 6400 万条应聘者的聊天与个人数据记录。
这起事件不仅揭示出一家全球快餐巨头在供应链数据管理方面的重大疏漏,也成为 AI 在人力资源应用中“黑箱、安全、合规”问题的现实缩影。
一、事件回顾:AI 招聘系统,岂能如此“裸奔”?
McHire 是 Paradox.ai 为麦当劳及其全球加盟门店提供的智能招聘平台,其核心功能是通过 AI 聊天机器人 “Olivia” 自动与应聘者进行沟通、筛选和性格测试。Olivia 被麦当劳视为提效利器,但它的“智商”并未能预料到“安全”才是立足之本。
根据 Wired 报道,两位白帽黑客仅通过一个早已弃用却未关闭的测试账号,成功绕过验证机制,获得了后台系统的管理员权限。不仅如此,他们还发现:
该账户使用的是“123456”密码;
系统未启用任何双因素认证(MFA);
应聘者数据可以通过修改 ID 参数被穷举访问。
最终,他们验证了系统中至少存在 6400万条聊天记录,含有应聘者姓名、电话、邮箱和申请时间等信息。
Carroll 表示,起初是看到 Reddit 上有人抱怨 Olivia 聊天机器人不断误解应聘者的问题,浪费了他们时间,引发他的兴趣。他与 Curry 随即开始测试该系统是否存在“提示注入(prompt injection)”漏洞,即通过输入特定指令绕过大型语言模型的安全防护。但他们并未发现该漏洞,转而尝试查看 McHire.com 网站是否存在其他问题。
他们注意到一个供 Paradox.ai 员工登录的后台链接,于是尝试了两个最常见的登录组合:“admin / admin”以及“123456 / 123456”。第二组竟然成功登录。
更令人震惊的是,该系统竟没有设置多因素验证。通过这个入口,Carroll 和 Curry 获得了对一个麦当劳“测试门店”的管理员权限。该门店并不真实存在,其“员工”名单上列出的其实是 Paradox.ai 的开发人员,看似位于越南。
他们在平台中找到一个职位发布链接,点击后提交了应聘,随后就能在后台系统中看到自己的申请记录。Paradox.ai 后续在博客中表示,该测试账户“自2019年后未再使用,早该停用”。
但是你知道吗,第二个更加致命漏洞:修改申请编号即可查看他人数据,这个是非常低级的错误。
更严重的是,他们在查看自己的应聘信息时注意到,只要修改申请编号(从6400多万向下逐条尝试),就能看到他人应聘记录,包括聊天内容与联系方式。
Carroll 和 Curry 出于道德与法律考量,仅对少量数据进行了检查。Paradox.ai 证实,他们仅查看了7条记录,其中5条包含真实的个人信息。
随后联系了其中2位应聘者,对方确认他们在指定日期应聘过麦当劳。
二、Paradox.ai的回应:我们确实做错了,也正在承担责任
在事件曝光当天,Paradox.ai 发布了题为《Responsible Security Update》的官方博客回应,承认问题的存在并做出如下说明:
漏洞已于第一时间修复;
问题源于一个“2019年后未再登录的测试账号”;
除了两名研究人员外,没有任何第三方滥用记录;
公司将立即启动漏洞赏金计划(Bug Bounty Program);
所有账户结构、访问流程、身份认证机制将彻底重构;
承诺将“安全文化嵌入组织的每一个流程”。
Paradox.ai 首席法务官 Stephanie King 对媒体表示:“我们并没有试图逃避这个问题,而是选择拥有它(We own this)。”
三、麦当劳回应:我们已责令第三方立即整改
麦当劳方面迅速表态,将此次事件的责任归咎于第三方技术供应商 Paradox.ai,并强调:
“我们对这一不可接受的漏洞深感失望,已经在得知后立即要求其修复。我们会持续对所有合作伙伴提出最严格的数据安全要求。”
值得注意的是,麦当劳近年来高度依赖 AI 来处理大量基层岗位招聘,尤其是在美国本土和全球主要市场的门店中,AI 招聘几乎已成为标配。这也意味着:一旦系统失守,波及面远不止一个“测试账号”。
四、行业震荡:不仅是麦当劳,每个 HR SaaS 都应自省
这一事件引发的影响远超一家公司或一个供应商,HRTechChina在2024年就发起了HR科技公司和企业负责任AI的倡议。
1. AI招聘系统的“合规黑箱”被撕开
在实际操作中,大量企业购买或租用第三方招聘平台,却缺乏对系统架构与数据路径的深度了解。尤其在使用 AI 的场景中,聊天记录、评估结果、筛选标准等都不够透明,甚至连系统是否具备多因素验证、数据是否加密存储都一无所知。
2. “人+AI”并非万能组合,安全才是信任基础
Olivia 再智能,也无法阻止“123456”这个账号问题带来的巨大后果。人力资源作为组织最靠近“人”的业务单元,应当比任何部门都更警觉于:AI 是否值得托付?谁来负责出事之后的“人道成本”?
3. 白帽研究员为何成为安全底线?
讽刺的是,这起重大安全漏洞并非通过正式测试流程发现,而是通过两个独立安全研究人员的“业余探索”曝光。若他们没有负责任地披露,企业甚至可能多年后仍处于裸奔状态。HR Tech 行业是否应当建立更正式、更可持续的第三方审计与通报机制?
五、下一步:不是追责,而是行动
我们赞赏 Paradox.ai 在风波后的公开承认和快速应对,但也要清醒地认识到:
AI 正在成为人力资源基础设施的一部分,我们不能再用“实验态度”对待它。
为此,我们建议:
企业用户(甲方 HR、IT、法务):
在选择 AI 招聘工具时,必须将安全审计列入采购流程;
要求供应商提供 SOC 2、ISO 27001、GDPR/CCPA 合规证书;
明确系统数据访问结构,审查是否具备 MFA、加密、访问日志等机制。
AI HR SaaS 服务商:
不仅要“修补系统”,更要“重塑文化”;
应建立“安全透明公约”,每年主动向客户披露风险清单;
将漏洞赏金制度常态化,引入更多白帽力量进行监督。
行业协会与政策制定者:
制定AI招聘领域的数据最小使用原则;
建立AI决策可解释性评估机制;
鼓励建立第三方AI招聘平台认证体系。
六、负责任的AI,不只是PR口号
AI技术的迅猛发展已无可避免,但责任意识不能“滞后部署”。招聘是人与组织建立信任的起点,而信任建立的基础从来不只是效率、算法和界面——更是对每一份数据的尊重、保护与敬畏。
“123456”只是个密码,但也像是一记响亮耳光,提醒整个行业:HR科技的未来,不仅属于聪明的 AI,更属于负责任的 AI。
附录:推动HR工作中实践负责任AI的倡议书
-
McDonald’s
工作的未来:利用人工智能增强员工能力,实现更快、更智能的流程--谷歌Next大会官方介绍的案例
在当今的商业环境中,各行各业的公司正积极采用生成型人工智能(Gen AI)技术,以提高员工生产力和优化工作流程。这些技术的应用广泛,覆盖了从日常管理到高级数据分析的多个方面,极大地提升了工作效率和协作质量。
例如,Avery Dennison公司利用生成型AI,使员工能够进行安全、灵活且无国界限制的协作,从而推动生产力的提升和公司成长。同样,Bayer公司正在建立一个放射学平台,该平台通过数据分析和智能搜索帮助放射科医生创建符合健康监管要求的文档,加速医疗批准过程。
在临床试验文档处理方面,Bristol Myers Squibb公司通过使用Vertex AI和Google Workspace,将原本需要科学家们数周完成的文档草稿时间缩短到了几分钟内。此外,大型零售商如Home Depot利用名为“Sidekick”的应用程序帮助店员管理库存,并通过视觉模型优化库存补充的优先级。
这些案例显示,通过AI技术,企业不仅能够简化复杂的流程,还能在提供个性化服务和改善客户体验方面取得显著成效。AI的集成使得员工可以从繁琐的任务中解放出来,专注于更有价值的工作,从而推动业务发展和创新。这种技术的应用正在逐步改变传统工作方式,预示着一个更智能、更高效的未来工作环境。
谷歌Next大会中推荐了101个企业使用GenAI的案例,我们特别介绍在企业员工工作方面的应用企业案例,一起来看看:
Avery Dennison(艾利丹尼森)通过生成式AI赋能员工,以实现安全、灵活且无边界的协作,增强生产力以推动增长。
Bank of New York Mellon(纽约梅隆银行)建立了一个虚拟助手,帮助员工找到相关信息和问题的答案。
Bayer(拜耳)正在建设一个放射学平台,将协助放射科医生进行数据分析、智能搜索,并创建符合健康保障要求的文档,以获取监管批准。这家生物科学公司还在利用BigQuery和Vertex AI开发额外的数字医疗解决方案和更高效的药物。
Bristol Myers Squibb(百时美施贵宝)正在使用Vertex AI和Google Workspace转变其临床试验的文档处理流程。现在,原本需要科学家几周完成的文档,现在几分钟内就能完成初稿。
BenchSci开发了生成式AI解决方案,赋能科学家理解生物研究中的复杂联系,为他们节省时间和财务资源,并最终更快地将新药带给患者。
Cintas 正在利用 Vertex AI Search 建立内部知识中心,帮助客服和销售团队轻松获取关键信息。
加州的医疗保险市场 Covered California 正在使用Document AI帮助改善消费者和员工的体验,通过自动化居民申请保险时的文档和验证过程的部分。
Dasa(达莎),巴西最大的医学诊断公司,正在帮助医生更快地检测出测试结果中的相关发现。
DaVita利用DocAI和Healthcare NLP改造肾脏护理,包括分析医疗记录、揭示关键的患者洞察以及减少错误。AI使医生能够专注于个性化护理,从而显著改善医疗服务的提供。
Discover Financial(发现金融)帮助其10,000名联系中心代表在通话期间搜索和综合详细的政策和程序信息。
HCA Healthcare正在测试名为Cati的虚拟AI护理助手,帮助确保一个护理班次结束和另一个开始时的护理连续性。他们还在使用生成式AI改善诸如临床文档这类耗时任务的工作流程,使医生和护士能够更多地专注于患者护理。
Home Depot(家得宝)建立了一个名为Sidekick的应用程序,帮助商店助理管理库存并保持货架存货;值得注意的是,视觉模型帮助助理确定采取哪些行动。
Los Angeles Rams(洛杉矶公羊队)在内容分析到球员侦察等方面都在利用AI。
McDonald’s(麦当劳)将在其数千家餐厅中利用数据、AI和边缘技术来实现更快的创新,并增强员工和客户体验。
Pennymac(宾尼迈克),一家领先的美国全国性抵押贷款贷方,正在使用Gemini跨多个团队,包括HR,其中Gemini在文档、表格、幻灯片和Gmail中的应用帮助他们加速招聘、雇佣和新员工入职。
Robert Bosch(罗伯特·博世),世界上最大的汽车供应商,通过生成式AI驱动的解决方案,革命性地改进了营销,简化流程,优化资源配置,并在100多个分散的部门中实现效率最大化。Symphony(交响乐),金融服务行业的通信平台,使用Vertex AI帮助金融和交易团队跨多个资产类别进行协作。
Uber(优步)正在使用AI代理帮助员工提高生产力、节省时间,并在工作中更加有效。对于客服代表,他们推出了新工具,总结与用户的通信,并甚至可以从以前的互动中提取上下文,因此一线员工可以更有帮助和有效。
U.S. Dept. of Veterans Affairs(美国退伍军人事务部)正在使用AI在边缘改善对服务成员和退伍军人的癌症检测。部署在世界各地的远程军事治疗设施中的增强现实显微镜(ARM)正在帮助病理学家更快、更准确地找到癌症。
U.S. Patent and Trademark Office(美国专利和商标局)通过实施AI驱动的技术,提高了他们的专利和商标审查过程的质量和效率。
Verizon(威瑞森)正在使用生成式AI帮助网络运营和客户体验团队更快地获取所需答案。
Victoria’s Secret(维多利亚的秘密)正在测试AI驱动的代理,帮助其店内助理查找有关产品库存、库存以及合身和尺寸提示的信息,以便他们能够更好地为客户提供个性化建议。
Vodafone(沃达丰)使用Vertex AI搜索和理解超过10,000份合同中的特定商业条款和条件,这些合同涉及超过800个通信运营商。
WellSky正在整合Google Cloud的医疗保健和Vertex AI能力,减少工作时间外完成文档的时间。
Woolworths(澳大利亚沃尔沃斯),澳大利亚领先的零售商,通过在Google Workspace产品中使用“帮我写”功能,提升了超过10,000名行政员工在通信中的信心。它还在使用Gemini为客户服务代表创建下一代促销活动,并快速协助他们实时总结所有之前的客户互动。
Box, Typeface, Glean, CitiBank(花旗银行)和Securiti AI讨论了跨企业开发AI驱动的应用程序的情况,这些应用程序为营销、金融服务和HR用例带来了可衡量的投资回报。
Highmark Health和Freenome与Bristol Myers Squibb一起探索AI如何在护理交付、药物发现、临床试验规划和将药物推向市场等方面提高效率和创新。
我们可以看到以下几个特点,Gen AI在工作场所带来的可能:
工作效率和流程优化:通过自动化重复任务和加快文档处理,如Bristol Myers Squibb利用AI加速临床试验文档的编制。
信息获取与决策支持:银行和服务公司使用AI辅助工具改善信息检索和客户服务,例如Bank of New York Mellon的虚拟助手。
医疗诊断与患者护理:如DaVita和Dasa利用AI提高诊断效率和准确性,改善病理检测和患者护理。
个性化服务和客户体验:零售和服务业通过AI优化库存管理和顾客互动,如Victoria's Secret使用AI提供个性化购物建议。
跨地域协作与通信:例如Avery Dennison使用AI支持全球员工的协作和通信。
市场营销和资源优化:如Robert Bosch利用AI精细化营销策略和资源配置。
确保总结中包括了生成型AI对企业运营效率提升、员工工作满意度增加、以及企业服务质量和创新能力提高的综合影响。
扫一扫 加微信
hrtechchina
