人工智能（AI）在重塑商業招聘模式的同時，其應用的安全風險也引發關注。近期曝光的麥當勞特許經營商廣泛使用的 AI 招聘平臺 McHire 的重大安全漏洞，便為此敲響了警鐘。

據外媒 7 月 11 日報道，該平臺采用了 Paradox.ai 開發的 AI 聊天機器人 "Olivia"（奧利維亞），用于收集求職者的個人信息，包括姓名、電話、郵箱、住址等敏感數據。然而，平臺的安全防護存在嚴重缺陷。

獨立安全研究員伊恩 · 卡羅爾（Ian Carroll）和薩姆 · 庫里（Sam Curry）發現，僅需使用極其簡單的用戶名和密碼組合（如 "123456"），即可輕易登錄 McHire 的管理員界面。更嚴重的是，攻擊者不僅能訪問系統中可能存儲的約 6400 萬份招聘記錄，還能獲取用于冒充求職者登錄的身份驗證令牌，甚至查看原始的聊天記錄內容。

《每日經濟新聞》記者向相關方了解到，此事與麥當勞中國無關。

目前，Paradox.ai 和麥當勞已確認該漏洞的存在，并在 7 月初完成了修復工作。

6400 萬求職者數據 " 變透明 "："123456"30 分鐘攻陷 AI 招聘系統

麥當勞的 AI 招聘平臺 McHire 使用名為 " 奧利維亞（Olivia）" 的 AI 聊天機器人來篩選求職者。這款由 AI 軟件公司 Paradox.ai 開發的工具，旨在簡化招聘流程，收集求職者的聯系方式、簡歷和班次偏好，甚至還會進行性格測試。然而，這個原本為提高效率和便利性設計的工具，卻出現了重大信息安全漏洞。

2025 年 6 月 30 日，獨立安全研究人員伊恩 · 卡羅爾和薩姆 · 庫里在麥當勞招聘系統 McHire 上發現了一個標記為 "Paradox.ai 員工 " 的管理員登錄入口。該入口仍接受默認用戶名和密碼 "123456"，且未啟用任何雙重身份驗證。

卡羅爾之所以開始調查該系統，是因為他對麥當勞使用 AI 聊天機器人和性格測試來篩選潛在雇員的決定感到好奇。他說道：" 我只是覺得與正常的招聘流程相比，這簡直太反烏托邦了，對吧？正是這點讓我想深入調查。于是我開始申請工作，結果 30 分鐘后，我們竟然完全訪問了麥當勞多年來幾乎所有的求職申請。"

卡羅爾嘗試了常見登錄憑證。他首先嘗試用戶名和密碼均為 "admin"，第二次嘗試使用 "123456" 后，便成功登錄，完全控制了一個測試特許經營商賬戶。通過修改 API 中的申請人 ID 值（一種 IDOR 漏洞），他們查看了數年積累的、多達 6400 萬份申請的聊天記錄和個人數據。

公開可訪問的數據包括：

姓名、電子郵件、電話號碼、IP 地址及部分家庭住址；

聊天歷史記錄，包括性格測試回答和簡歷詳情。

慶幸的是，暴露的數據不涉及財務數據或社會安全號碼。然而，被暴露的數據仍可能造成嚴重的網絡釣魚風險。

Paradox.ai 稱 " 僅 5 人受影響 "，安全專家警告：AI 工作流應納入監管

意識到潛在數據暴露規模后，上述研究人員立即啟動披露程序，于 2025 年 6 月 30 日美國東部時間 17:46 聯系 Paradox.ai 和麥當勞。麥當勞迅速確認報告，當日 19:31 即禁用默認管理憑證。Paradox.ai 確認所有問題在 2025 年 7 月 1 日 22:18 前徹底解決，兩家公司均表示將加強數據安全防護。

麥當勞在聲明中，將數據漏洞歸咎于其第三方供應商 Paradox.ai。麥當勞稱：" 我們對第三方供應商 Paradox.ai 的這種不可接受的漏洞感到失望。" 麥當勞進一步證實，在得知此問題后，他們 " 立即要求 Paradox.ai 修復問題，并在收到報告的當天就解決了。"

Paradox.ai 則表示，他們在收到警報后數小時內就禁用了受影響的測試賬戶，并在 7 月 1 日之前完全解決了漏洞。該公司還啟動了一項漏洞賞金計劃，以發現未來的安全弱點。

此外，Paradox.ai 在其官網上發布了一篇博客文章稱，應聘者信息從未在線上泄露或公開，并且此次事件中，僅五名應聘者的信息被查看，且僅由安全研究人員訪問。該公司最后強調，" 該事件僅影響一家機構（麥當勞），未波及 Paradox 其他客戶。"

全球數據隱私管理公司 MineOS 聯合創始人兼 CEO 科比 · 尼桑評論稱，" 此事件警示企業，若在缺乏適當監督的情況下倉促部署面向客戶的 AI 工作流，將使自身和數百萬用戶暴露于不必要的風險中。"

" 問題不在于 AI 技術本身，而是缺乏基本的安全防護與治理機制。任何收集或處理個人數據的 AI 系統，都應與企業核心業務系統遵循相同的隱私保護、安全及訪問控制標準。" 科比強調，" 這意味著需要建立身份驗證、審計追蹤機制，并將其整合至整體風險工作流，而非放任其成為監管盲區。"

每日經濟新聞