详细内容或原文请订阅后点击阅览
麦当劳的AI机器人溢出了求职者的数据
可以通过简单地猜测用户名并使用密码“ 12345”来访问工作申请人的个人信息。
来源:Malwarebytes Labs 博客麦当劳将其招聘过程的初始阶段外包给了AI Chatbot,该机器人似乎是在没有适当的安全措施的情况下就建造的。
安全研究人员通过简单地猜测用户名和密码为“ 12345”来提取有关麦当劳的求职者的个人信息。为此,研究人员可能有可能获得6400万申请人的信息。
安全研究人员 12345根据《连线》的说法,麦当劳的所有加盟商中有90%使用麦克风从其申请人那里获取信息并将其发送给人格测试。令人讨厌的是,Mchire聊天机器人一直是许多有抱负的麦当劳员工的刺耳,因为它无法理解或回答脚本之外的任何问题。
根据有线不幸的是,这是许多聊天机器人共同的方面。但是,洒关于曾经应用的每个人的McBeans不应在菜单上。
研究人员为测试安全性所做的工作是创建自己的虚假应用程序,并查看餐馆老板的Mchire管理界面。
当研究人员试图提示注入聊天机器人时,申请过程未产生任何结果。攻击者使用及时注入来喂食聊天机器人或AI系统偷偷摸摸的消息,伪装成正常的问题或说明。这些消息欺骗了AI忽略其通常的规则并做不应该做的事情。但是,这种策略在这里失败了,因为研究人员被困在实际人通常接管面试过程的那一刻。
因此,研究人员将注意力转向后端。他们找到了一个餐厅老板可以用来登录申请人的网页。令他们惊讶的是,它接受了默认凭据123456:123456,这使他们可以访问Mchire系统内一家测试餐厅的管理员帐户。