安全研究人员发现，麦当劳的AI招聘系统存在严重安全漏洞，导致求职者数据泄露风险。研究人员通过简单的用户名密码猜测，成功获取了系统管理员权限，并能够访问大量应聘者信息，包括姓名、邮箱和电话号码。该漏洞由AI招聘系统供应商Paradox.ai引起，麦当劳已要求其修复。Paradox.ai承认漏洞并表示已修复，同时考虑推出漏洞赏金计划。麦当劳强调事件由Paradox.ai引起，并对其安全漏洞表示遗憾。

🔑研究人员发现麦当劳AI招聘系统存在安全漏洞，该系统由Paradox.ai设计并部署。通过尝试，研究人员成功获取了管理员权限。

🔓研究人员通过猜测用户名和密码（“123456”），成功登录了Paradox.ai员工的内部登录链接，获得了招聘后台的管理员权限。

👀研究人员进一步测试发现，通过修改应聘者ID编号，可以查看其他求职者的个人信息，包括姓名、邮箱和电话号码。系统中可能保存了多达6400万份招聘记录。

✅Paradox.ai承认安全漏洞，并强调漏洞未被研究人员以外的任何人发现。该公司表示已修复漏洞，并考虑推出漏洞赏金计划以加强安全测试。麦当劳也表示事件由Paradox.ai引起，并已要求其整改。

IT之家 7 月 10 日消息，根据《连线》杂志 9 日报道，安全研究人员 Ian Carroll 和 Sam Curry 上周一（6 月 30 日）试图入侵麦当劳的 AI 招聘机器人后台，结果过程“远比想象的轻而易举”。

麦当劳通过 AI 聊天机器人筛选应聘者。Carroll 称，不到半小时内就“几乎能访问”麦当劳多年来的所有应聘记录。

起初，Carroll 和 Curry 正在与 Paradox.ai 设计并部署在 McHire.com 上的、名为“Olivia”的 AI 招聘专员互动。他们在页面上发现了一个 Paradox.ai 员工使用的内部登录链接。

仅尝试了两次，两人就猜中用户名和密码（“123456”），成功取得了招聘后台的管理员权限。随后，他们又发现一个链接，能直接查看自己刚才提供给“Olivia”的数据。进一步测试后，他们意识到，只需修改应聘者的 ID 编号，就能看到其他求职者的姓名、邮箱和电话号码。两人表示，系统中保存的招聘记录可能多达 6400 万份。

Paradox.ai 事后发布博客承认安全漏洞，并强调漏洞未被研究人员以外的任何人发现；两人也仅访问了用于验证漏洞存在性的少量数据。Paradox.ai 表示，考虑推出“漏洞赏金计划”，以强化自身的安全测试机制。

Paradox.ai 首席法务官 Stephanie King 表示：“我们不认为这是小事，尽管问题已迅速得到解决，我们仍会负起全部责任。”

IT之家从报道中获悉，麦当劳在书面声明中指出，事件完全由 Paradox.ai 引发，且漏洞当天即被修复。“我们对第三方服务商 Paradox.ai 出现如此严重的安全漏洞感到遗憾。在得知问题后，我们立即要求其整改，当天便完成修复。我们对网络安全高度重视，今后也将持续督促合作方遵守我们的数据保护标准。”