罪魁禍首是：Olivia，一款來自Paradox.ai的AI聊天機器人，旨在處理求職申請、收集個人信息，甚至進行性格測試。從表面上看，它是現代效率的典范，但實際上，由于安全漏洞太過基礎，這些漏洞簡直可以稱得上是荒謬可笑，整個系統完全處于不設防狀態。

出了什么問題?

發現這些漏洞并不需要高超的黑客技術，研究人員Ian Carroll和Sam Curry在Reddit用戶抱怨Olivia在申請過程中給出荒謬回應后開始調查。在未能找到更復雜的漏洞后，這兩人只是嘗試用“123456”作為用戶名和密碼登錄網站的后端。不到半小時，他們就訪問到了幾乎所有求職者的個人數據——姓名、電子郵件地址、電話號碼和完整的聊天記錄——且無需多因素認證。

更糟糕的是，研究人員發現任何人只需在URL中調整ID號碼就可以訪問記錄，暴露了超過6400萬個獨特的求職者檔案。一個自2019年以來就未被使用過的被攻破賬戶，仍然保持活躍狀態并鏈接到實時數據。正如Carroll告訴《連線》雜志的那樣：“我只是覺得這與正常的招聘流程相比，非常具有反烏托邦色彩，對吧?這就是讓我更想深入調查的原因。”

為什么安全基礎仍然重要

專家們一致認為，真正的震驚不在于技術本身，而在于導致泄露發生的缺乏安全基礎的問題。正如Black Duck的Aditi Gupta所指出的，麥當勞事件與其說是高級黑客攻擊，不如說是一系列“關鍵性失敗”，包括未更改的默認憑證、多年未關閉的 inactive(不活躍)賬戶、缺失的訪問控制以及薄弱的監控。結果：一個自2019年以來就未被觸碰過的舊管理員賬戶，就足以解鎖大量個人數據。

對于行業內的許多人來說，這引發了更大的問題。Cequence Security的首席信息安全官Randolph Barr指出，在生產環境中使用像“123456”這樣弱且易猜的憑證，不僅僅是技術上的疏忽，它還表明了安全文化和治理上存在更深層次的問題。當憑證管理、訪問控制甚至多因素認證等基本措施都缺失時，整個安全態勢都會受到質疑。Barr說，如果安全專業人員能在幾分鐘內發現這些漏洞，“惡意攻擊者絕對也會——而且他們會被鼓勵深入挖掘其他容易得手的目標”。

而這不僅僅關乎AI或麥當勞。這類安全失誤往往伴隨著每一項新的“改變游戲規則”的技術出現。正如PointGuard AI的William Leichter所觀察到的，組織常常急于部署最新工具，受炒作和即時利益的驅使，而經驗豐富的安全專業人員卻被邊緣化。這種情況在云計算領域發生過，現在，他說，“輪到AI了：工具被匆忙推出，控制機制不成熟，實踐也草率。”

自動化與安全錯覺

麥當勞并不是唯一一家在招聘和為加盟商及HR團隊簡化生活方面大力投資AI的公司。像Olivia這樣的自動化聊天機器人本應簡化申請流程、評估候選人并消除人為瓶頸，但正如這次事件所顯示的，便利不能以犧牲基本的數字衛生為代價。簡單的保障措施——唯一憑證、強大的認證和適當的訪問控制——完全缺失了。

急于數字化和自動化HR帶來了安全上的錯覺，當敏感數據由機器管理時，很容易假設系統是安全的，但技術只與其背后的實踐一樣強大。

未來的教訓

如果這里有一個教訓的話，那就是技術永遠不應該替代常識。

尤其是那些由AI驅動的自動化招聘系統，其安全性只與最基本的控制措施一樣可靠。研究人員輕松訪問McHire后端的行為表明，即使是在聊天機器人時代，舊問題——默認密碼、缺失的多因素認證——仍然是最大的威脅之一。

擁抱自動化的公司需要將安全構建在基礎之中，而不是作為事后考慮，而求職者應該記住，在每一個“友好”的AI機器人背后，都是一家公司在決定如何保護——或忽視——他們的隱私。

便利的代價

麥當勞的McHire數據泄露事件是對每一家自動化招聘的公司，以及對每一位信任機器人來決定自己未來的求職者的警告。技術可以簡化流程，但它永遠不應該繞過或破壞安全。

現實世界并不像聊天機器人的對話樹那樣井然有序。如果我們不小心，對便利的追求將會持續將真實的人置于風險之中。