一位匿名读者引用了《连线》杂志的一篇报道:如果你今天想在麦当劳找份工作,很有可能你得和奥利维亚谈谈。事实上,奥利维亚并非人类,而是一个人工智能聊天机器人。它会筛选求职者,询问他们的联系方式和简历,引导他们进行性格测试,有时还会因为反复误解最基本的提问而让他们“发疯”。直到上周,由人工智能软件公司Paradox.ai开发的运行奥利维亚聊天机器人的平台也存在着极其低级的安全漏洞。因此,几乎任何黑客都可以通过简单的技巧,比如猜测用户名和密码“123456”,就能获取奥利维亚与麦当劳求职者的每一次聊天记录——包括他们在这些对话中分享的所有个人信息。周三,安全研究人员伊恩·卡罗尔(Ian Carroll)和萨姆·库里(Sam Curry)透露,他们发现了一些简单的方法,可以入侵麦当劳网站 McHire.com 上人工智能聊天机器人平台的后端。麦当劳的许多加盟商都使用该网站处理求职申请。卡罗尔和库里都是经验丰富的独立安全测试黑客,他们发现,一些简单的网络漏洞(包括猜测一个弱到可笑的密码)就能让他们访问 Paradox.ai 账户,并查询该公司保存所有 McHire 用户与奥利维亚聊天记录的数据库。这些数据似乎包含多达 6400 万条记录,包括求职者的姓名、电子邮件地址和电话号码。卡罗尔表示,他之所以发现求职者信息安全保障如此薄弱,是因为他对麦当劳让潜在新员工接受人工智能聊天机器人筛选和性格测试的决定感到好奇。“我只是觉得,与正常的招聘流程相比,这简直太反乌托邦了,对吧?这正是我想要深入研究的原因。”卡罗尔说。 “于是我开始申请工作,30分钟后,我们几乎可以访问麦当劳多年来收到的所有申请。” Paradox.ai 证实了安全问题,并承认被访问的记录中只有一小部分包含个人数据。该公司表示,只有研究人员可以访问弱密码账户(“123456”),其他任何人都无法访问。为了防止未来再次出现问题,Paradox 正在启动漏洞赏金计划。“尽管问题已经得到迅速有效的解决,但我们不会轻视此事,”Paradox.ai 首席法务官 Stephanie King 在接受《连线》杂志采访时表示。“我们对此负责。”麦当劳在给《连线》杂志的一份声明中承认 Paradox.ai 应对此负责。声明中写道:“我们对第三方提供商 Paradox.ai 的这一不可接受的漏洞感到失望。我们一得知此问题,就立即要求 Paradox.ai 修复,并在收到报告的当天就解决了问题。我们认真对待网络安全承诺,并将继续要求第三方提供商遵守我们的数据保护标准。”
在 Slashdot 上阅读更多内容。