- A+
IT之家 7 月 10 日消息,根据《连线》杂志 9 日报道,可靠研究人员 Ian Carroll 和 Sam Curry 上周一(6 月 30 日)试图入侵麦当劳的 AI 招聘机器人后台,结果过程“远比想象的轻而易举”。
IC外汇资讯:
麦当劳通过 AI 聊天机器人筛选应聘者。Carroll 称,不到半小时内就“几乎能访问”麦当劳多年来的所有应聘记录。
总的来说,
起初,Carroll 和 Curry 正在与Paradox.ai 设计并部署在 McHire.com 上的、名为“Olivia”的 AI 招聘专员互动。他们在页面上发现了一个 Paradox.ai 员工利用的内部进入账户链接。
简要回顾一下,
仅尝试了两次,两人就猜中访客名和密码(“123456”),成功取得了招聘后台的管理员权限。随后,他们又发现一个链接,能直接查看自己刚才呈现给“Olivia”的数据。进一步测试后,他们意识到,只需修改应聘者的 ID 编号,就能看到其他求职者的姓名、邮箱和电话号码。两人表示,系统中写入的招聘记录可能多达 6400 万份。
这你可能没想到,
P EC外汇平台 aradox.ai 事后发布博客承认可靠漏洞,并强调漏洞未被研究人员以外的任何人发现;两人也仅访问了用于验证漏洞存在性的少量数据。Paradox.ai 表示,考虑推出“漏洞赏金计划”,以强化自身的可靠测试机制。
Paradox.ai 首席法务官 Stephanie King 表示:“咱们不认为这是小事,尽管难点已迅速得到应对,咱们仍会负起全部责任。”
IT之家从报道中获悉,麦当劳在书面声明中指出, 福汇官网 事件完全由 Paradox.ai 引发,且漏洞当天即被修复。“咱们对第三方服务商 Paradox.ai 出现如此严重的可靠漏洞感到遗憾。在得知难点后,咱们立即要求其整改,当天便完成修复。咱们对网络可靠高度重视,今后也将持续督促合作方遵守咱们的数据保护标准。”
.jpg&w=280&h=210&a=&zc=1)