AI招聘系统漏洞，求职者数据真没了？谁能解释清楚这背后的风险？

2025-10-16 10:00:13 作者：Vali编辑部

人工智能技术在招聘领域的应用已成趋势，但其安全隐患同样不容忽视。近期曝光的麦当劳AI招聘平台McHire数据泄露事件，再次引发行业对AI系统安全性的深度思考。这个原本旨在提高招聘效率的工具，却因基础安全防护缺失，让6400万求职者的个人信息暴露在风险之中，暴露出AI技术在商业应用中的关键漏洞。

从数据泄露到系统漏洞，这场由麦当劳特许经营商使用的AI招聘平台引发的危机，揭示了AI技术在商业应用中的多重隐患。独立安全研究团队通过简单登录凭证，便能访问海量求职者信息，这种漏洞不仅影响麦当劳自身，更可能波及整个AI招聘行业。事件发生后，Paradox.ai和麦当劳迅速响应，但问题的根源远不止于技术修复，而是折射出AI系统在安全设计、数据保护等方面的系统性缺陷。

麦当劳AI招聘平台McHire采用的"奥利维亚"AI聊天机器人，原本是为提升招聘效率而设计的工具。该系统通过收集求职者联系方式、简历和班次偏好，甚至进行性格测试，实现了招聘流程的自动化。然而，这套系统在安全防护上的疏漏，却让整个招聘流程变成了数据泄露的通道。

2025年6月30日，安全研究人员发现该系统存在重大漏洞。只需使用"123456"这样的简单密码，就能登录管理员界面。更令人担忧的是，攻击者不仅能访问存储的6400万份招聘记录，还能获取身份验证令牌，甚至查看原始聊天记录。这种漏洞的存在，意味着任何掌握基础技术的人，都能轻易获取求职者的核心信息。

安全研究人员发现，该系统存在明显的安全设计缺陷。管理员账户未启用双重验证，且使用默认密码"123456"。这种基础设置的疏忽，让整个系统成为黑客攻击的突破口。攻击者通过修改API中的申请人ID值（IDOR漏洞），便可查看数年积累的求职者数据。这种漏洞的存在，意味着整个招聘流程中的数据都可能被随意访问。

麦当劳在事件发生后快速响应，当日就禁用默认管理凭证。Paradox.ai则在7月1日完成漏洞修复。但这两家公司的应对，暴露出AI系统在安全防护上的薄弱环节。麦当劳将责任归咎于第三方供应商，但问题的根源在于整个AI系统的安全设计标准是否足够严格。

Paradox.ai在事件后表示，仅五名应聘者的信息被查看，且仅由安全研究人员访问。但这一说法并未完全消除公众疑虑。全球数据隐私管理公司MineOS的专家指出，这种事件警示企业，若在缺乏适当监督的情况下仓促部署AI工作流，将使自身和数百万用户暴露于风险之中。

专家指出，AI技术本身并非问题所在，关键在于缺乏基本的安全防护与治理机制。任何收集或处理个人数据的AI系统，都应与企业核心业务系统遵循相同的隐私保护、安全及访问控制标准。这意味着需要建立身份验证、审计追踪机制，并将其整合至整体风险工作流，而非放任其成为监管盲区。