麥當勞AI工具驚現重大漏洞：“123456”當賬號密碼，30分鐘6400萬求職者數據“變透明”

每經記者｜高涵  丁舟洋    每經編輯｜高涵    

人工智能（AI）在重塑商業招聘模式的同時，其應用的安全風險也引發關注。近期曝光的麥當勞特許經營商廣泛使用的AI招聘平臺McHire的重大安全漏洞，便為此敲響了警鐘。

據外媒7月11日報道，該平臺采用了Paradox.ai開發的AI聊天機器人“Olivia”（奧利維亞），用于收集求職者的個人信息，包括姓名、電話、郵箱、住址等敏感數據。然而，平臺的安全防護存在嚴重缺陷。

獨立安全研究員伊恩·卡羅爾（Ian Carroll）和薩姆·庫里（Sam Curry）發現，僅需使用極其簡單的用戶名和密碼組合（如“123456”），即可輕易登錄McHire的管理員界面。更嚴重的是，攻擊者不僅能訪問系統中可能存儲的約6400萬份招聘記錄，還能獲取用于冒充求職者登錄的身份驗證令牌，甚至查看原始的聊天記錄內容。

《每日經濟新聞》記者向相關方了解到，此事與麥當勞中國無關。

目前，Paradox.ai和麥當勞已確認該漏洞的存在，并在7月初完成了修復工作。

圖片來源：視覺中國

6400萬求職者數據“變透明”：“123456”30分鐘攻陷AI招聘系統

麥當勞的AI招聘平臺McHire使用名為“奧利維亞（Olivia）”的AI聊天機器人來篩選求職者。這款由AI軟件公司Paradox.ai開發的工具，旨在簡化招聘流程，收集求職者的聯系方式、簡歷和班次偏好，甚至還會進行性格測試。然而，這個原本為提高效率和便利性設計的工具，卻出現了重大信息安全漏洞。

2025年6月30日，獨立安全研究人員伊恩·卡羅爾和薩姆·庫里在麥當勞招聘系統McHire上發現了一個標記為“Paradox.ai員工”的管理員登錄入口。該入口仍接受默認用戶名和密碼“123456”，且未啟用任何雙重身份驗證。

卡羅爾之所以開始調查該系統，是因為他對麥當勞使用AI聊天機器人和性格測試來篩選潛在雇員的決定感到好奇。他說道：“我只是覺得與正常的招聘流程相比，這簡直太反烏托邦了，對吧？正是這點讓我想深入調查。于是我開始申請工作，結果30分鐘后，我們竟然完全訪問了麥當勞多年來幾乎所有的求職申請。”

卡羅爾嘗試了常見登錄憑證。他首先嘗試用戶名和密碼均為“admin”，第二次嘗試使用“123456”后，便成功登錄，完全控制了一個測試特許經營商賬戶。通過修改API中的申請人ID值（一種IDOR漏洞），他們查看了數年積累的、多達6400萬份申請的聊天記錄和個人數據。

公開可訪問的數據包括：

姓名、電子郵件、電話號碼、IP地址及部分家庭住址；

聊天歷史記錄，包括性格測試回答和簡歷詳情。

慶幸的是，暴露的數據不涉及財務數據或社會安全號碼。然而，被暴露的數據仍可能造成嚴重的網絡釣魚風險。

Paradox.ai稱“僅5人受影響”，安全專家警告：AI工作流應納入監管

意識到潛在數據暴露規模后，上述研究人員立即啟動披露程序，于2025年6月30日美國東部時間17:46聯系Paradox.ai和麥當勞。麥當勞迅速確認報告，當日19:31即禁用默認管理憑證。Paradox.ai確認所有問題在2025年7月1日22:18前徹底解決，兩家公司均表示將加強數據安全防護。

麥當勞在聲明中，將數據漏洞歸咎于其第三方供應商Paradox.ai。麥當勞稱：“我們對第三方供應商Paradox.ai的這種不可接受的漏洞感到失望。” 麥當勞進一步證實，在得知此問題后，他們“立即要求Paradox.ai修復問題，并在收到報告的當天就解決了。”

Paradox.ai則表示，他們在收到警報后數小時內就禁用了受影響的測試賬戶，并在7月1日之前完全解決了漏洞。該公司還啟動了一項漏洞賞金計劃，以發現未來的安全弱點。

圖片來源：Paradox.ai官網

此外，Paradox.ai在其官網上發布了一篇博客文章稱，應聘者信息從未在線上泄露或公開，并且此次事件中，僅五名應聘者的信息被查看，且僅由安全研究人員訪問。該公司最后強調，“該事件僅影響一家機構（麥當勞），未波及Paradox其他客戶。”

全球數據隱私管理公司MineOS聯合創始人兼CEO科比·尼桑評論稱，“此事件警示企業，若在缺乏適當監督的情況下倉促部署面向客戶的AI工作流，將使自身和數百萬用戶暴露于不必要的風險中。”

“問題不在于AI技術本身，而是缺乏基本的安全防護與治理機制。任何收集或處理個人數據的AI系統，都應與企業核心業務系統遵循相同的隱私保護、安全及訪問控制標準。”科比強調，“這意味著需要建立身份驗證、審計追蹤機制，并將其整合至整體風險工作流，而非放任其成為監管盲區。”