麦当劳的AI招聘机器人将数百万申请人的数据暴露给了尝试“ 123456”密码的黑客

如果你想今天在麦当劳的工作，您很有可能与奥利维亚交谈。实际上，奥利维亚不是人类，而是AI聊天机器人筛选申请人，索要他们的联系信息，并将其引导他们进行人格测试，并偶尔使他们成为发疯通过反复误解他们最基本的问题。

直到上周，由人工智能软件公司Paradox.ai建造的Olivia Chatbot的平台也遭受了荒谬的基本安全缺陷。结果，实际上，任何黑客都可以访问奥利维亚（Olivia）与麦当劳申请人的每一次聊天记录，包括他们在这些对话中共享的所有个人信息，都可以简单地猜测用户名和密码123456。”

周三，安全研究人员伊恩·卡罗尔（Ian Carroll）和萨姆·库里（Sam Curry）揭示他们找到了简单的方法，可以黑客入侵McHire.com上AI Chatbot平台的后端，麦当劳网站上的许多加盟商都用来处理工作申请。卡洛尔和咖喱，黑客长的 追踪 记录在独立的安全测试中，发现简单的基于Web的漏洞，包括猜测一个可笑的密码，使他们可以访问paradox.ai帐户并查询公司的数据库，该数据库可以与Olivia聊天。数据似乎包含多达6400万个记录，包括申请人的姓名，电子邮件地址和电话号码。

卡洛尔说，他只发现申请人的信息缺乏安全性，因为麦当劳决定将潜在的新员工对AI Chatbot筛选员和个性测试的决定感到很感兴趣。与正常的招聘过程相比，我只是认为这是非常独特的反乌托邦主义者，对吗？这就是让我想更多地研究它的原因。因此，我开始申请工作，然后在30分钟后，我们几乎可以完全访问麦当劳曾经返回的所有申请。”

当连线与麦当劳和Paradox.ai联系时，paradox.ai发言人分享了博客文章该公司计划发布确认Carroll和Curry的发现。该公司指出，Carroll和Curry访问的记录中只有一小部分包含个人信息，并表示已验证了带有123456密码的帐户暴露了该信息，但除研究人员以外，任何第三方都无法访问该信息。该公司还补充说，它正在制定一个错误赏金计划，以便将来更好地捕获安全漏洞。Paradox.Ai的首席法律官斯蒂芬妮·金（Stephanie King）在接受采访时告诉《连线》。我们拥有这个

麦当劳在对《连线》的声明中同意，帕拉多克斯。第三方提供商Paradox.ai对这种不可接受的脆弱性感到失望。声明说，一旦了解了这个问题，我们就要求Paradox.ai立即纠正该问题，并在报告给我们的同一天解决了问题。”我们认真对待网络安全的承诺，并将继续使我们的第三方提供商负责满足我们的数据保护标准。