麦当劳AI招聘机器人因使用密码"123456"致数百万求职者数据泄露

如今若想在麦当劳求职，你很可能会与"Olivia"对话。Olivia并非真人，而是由人工智能软件公司Paradox.ai开发的聊天机器人，负责筛选申请人、收集联系方式与简历、进行性格测试，有时会因反复误解基本问题而让求职者"抓狂"。

直到上周，运行Olivia的平台仍存在荒谬的基础安全漏洞。实际上，任何黑客只需猜测管理员账户的用户名和密码是"123456"这样简单的操作，就能访问Olivia与麦当劳求职者的所有聊天记录——包括对话中分享的全部个人信息。

7月9日，安全研究人员Ian Carroll和Sam Curry披露，他们发现了入侵McHire.com（麦当劳特许经营商使用的招聘网站）后端AI聊天机器人平台的简单方法。这两位长期从事独立安全测试的黑客发现，包括猜中一个可笑弱密码在内的简单Web漏洞，就能让他们访问Paradox.ai账户并查询存储所有用户与Olivia对话的数据库。这些数据包含约6400万条记录，涵盖申请人姓名、邮箱地址和电话号码。

Carroll表示，他之所以发现申请人信息安全防护如此薄弱，是因为对麦当劳使用AI聊天机器人和性格测试筛选应聘者的做法产生了兴趣。“相比正常招聘流程，这简直像是反乌托邦场景。于是我决定深入调查，“Carroll说，“开始申请职位30分钟后，我们就获得了访问麦当劳多年来几乎所有申请记录的权限。”

Paradox.ai在回应中确认了研究人员的发现，但声称只有部分记录包含个人信息，且除研究人员外没有第三方访问过使用"123456"密码的管理员账户。该公司表示已启动漏洞赏金计划，其首席法务官Stephanie King称：“虽然问题已迅速有效解决，但我们严肃对待此事。”

麦当劳则将责任归咎于第三方供应商：“我们对Paradox.ai存在这种不可接受的漏洞感到失望。获悉问题后，我们立即要求其修复，当天即得到解决。”

漏洞发现过程

Carroll在Reddit看到用户抱怨麦当劳招聘机器人用无意义回复浪费申请人时间后，开始关注McHire网站的安全性。他与Curry尝试寻找"提示注入"漏洞未果，转而测试网站后端访问权限时，意外发现Paradox.ai员工登录链接。

Carroll尝试了两组最常见凭证：“admin"和"123456”，后者竟成功登录——该页面没有任何多因素认证。获得管理员权限后，他们能查看为虚构麦当劳"餐厅"提交的测试职位申请，并通过修改申请ID号（最高超过6400万）查看他人聊天记录和联系方式。

虽然研究人员为避免侵犯隐私仅抽查了少量记录，但所有检查的ID都显示真实申请人信息。Paradox.ai称研究人员共访问7条记录，其中5条含McHire用户的个人信息。

潜在风险

尽管泄露的信息不算最敏感，但Carroll和Curry指出，这些数据关联着求职者在麦当劳的就业意向，极大提高了钓鱼攻击风险。“诈骗者完全可以冒充麦当劳招聘人员，索要直接存款所需的财务信息，“Curry表示，“若想实施工资诈骗，这是绝佳途径。”

研究人员还指出，暴露求职者申请（有时失败）最低工资工作的记录可能造成尴尬，但Carroll强调：“我对麦当劳员工唯有尊重——我自己就常去麦当劳。”

（2025年7月9日美国东部时间下午5点更新说明：钓鱼风险仅存在于有人实际利用数据的情况下）