林綺露

IT之家7月10日消息，根據(jù)《連線》雜志9日?qǐng)?bào)道，安全研究人員IanCarroll和SamCurry上周一（6月30日）試圖入侵麥當(dāng)勞的AI招聘機(jī)器人后臺(tái)，結(jié)果過(guò)程“遠(yuǎn)比想象的輕而易舉”。

麥當(dāng)勞通過(guò)AI聊天機(jī)器人篩選應(yīng)聘者。Carroll稱(chēng)，不到半小時(shí)內(nèi)就“幾乎能訪問(wèn)”麥當(dāng)勞多年來(lái)的所有應(yīng)聘記錄。

起初，Carroll和Curry正在與Paradox.ai設(shè)計(jì)并部署在McHire.com上的、名為“Olivia”的AI招聘專(zhuān)員互動(dòng)。他們?cè)陧?yè)面上發(fā)現(xiàn)了一個(gè)Paradox.ai員工使用的內(nèi)部登錄鏈接。

僅嘗試了兩次，兩人就猜中用戶(hù)名和密碼（“123456”），成功取得了招聘后臺(tái)的管理員權(quán)限。隨后，他們又發(fā)現(xiàn)一個(gè)鏈接，能直接查看自己剛才提供給“Olivia”的數(shù)據(jù)。進(jìn)一步測(cè)試后，他們意識(shí)到，只需修改應(yīng)聘者的ID編號(hào)，就能看到其他求職者的姓名、郵箱和電話(huà)號(hào)碼。兩人表示，系統(tǒng)中保存的招聘記錄可能多達(dá)6400萬(wàn)份。

Paradox.ai事后發(fā)布博客承認(rèn)安全漏洞，并強(qiáng)調(diào)漏洞未被研究人員以外的任何人發(fā)現(xiàn)；兩人也僅訪問(wèn)了用于驗(yàn)證漏洞存在性的少量數(shù)據(jù)。Paradox.ai表示，考慮推出“漏洞賞金計(jì)劃”，以強(qiáng)化自身的安全測(cè)試機(jī)制。

Paradox.ai首席法務(wù)官StephanieKing表示：“我們不認(rèn)為這是小事，盡管問(wèn)題已迅速得到解決，我們?nèi)詴?huì)負(fù)起全部責(zé)任。”

IT之家從報(bào)道中獲悉，麥當(dāng)勞在書(shū)面聲明中指出，事件完全由Paradox.ai引發(fā)，且漏洞當(dāng)天即被修復(fù)。“我們對(duì)第三方服務(wù)商Paradox.ai出現(xiàn)如此嚴(yán)重的安全漏洞感到遺憾。在得知問(wèn)題后，我們立即要求其整改，當(dāng)天便完成修復(fù)。我們對(duì)網(wǎng)絡(luò)安全高度重視，今后也將持續(xù)督促合作方遵守我們的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)?！?/p>系統(tǒng) 我的目的不是培養(yǎng)星球上最出色球星 而是培養(yǎng)最逗比的球星瓦爾迪： 我可以罵人么 系統(tǒng)： 不可以瓦爾迪： %￥#@#￥%@逗逼日常： 請(qǐng)?jiān)诤突蜀R的比賽中完成兩次 思考人生 瓦爾迪： 我是超級(jí)巨星， 我為綠茵逗比代言