一幅冲击力十足的画面:一扇巨大的金库大门被敞开,锁上显示着"123456",门内露出一排排人形剪影档案——直指主题,即用最脆弱的安全防线大规模守护着极度私密的个人数据。
Artificial IntelligenceCybersecurityTechnology

6400万人申请了一份工作,一个"123456"的密码却泄露了他们的秘密

Ashutosh SinghalAshutosh Singhal2026年3月19日15 min

我当时正在和一位潜在客户——一家中型物流公司——通话,就在这时McHire的消息传了出来。我的联合创始人在我说话说到一半时发来一个链接。我瞥了一眼,读了前两行,然后彻底沉默了。客户问我是不是还在线。

"抱歉,"我说。"我刚读到麦当劳的AI招聘平台——那个筛选数百万求职者的平台——竟然是用密码'123456'来保护的。而且刚刚有人就这么长驱直入了。"

电话那头沉默了很久。然后客户说:"这基本上就是我们的情况。"

他半开玩笑。但也只是半开玩笑。

2025年6月的McHire数据泄露事件暴露了大约6400万求职者的个人数据——姓名、电子邮件、电话号码、IP地址、与一位名叫"Olivia"的AI招聘官的聊天记录,以及最令人不安的,他们的性格测试结果。攻击途径并不是什么复杂的国家级攻击。它不是需要一支精英黑客团队才能实施的零日漏洞利用。它只是一个自2019年以来从未更改过的默认管理员密码,账户没有多因素认证,守护着一个允许任何人在浏览器地址栏中逐一遍历求职者ID的API。

当我告诉别人我们在Veriprajna做什么——构建将安全和治理内嵌于架构之中的AI系统——我有时会得到那种礼貌的点头,意思是"当然,但这是不是太过头了?"McHire数据泄露事件就是我的回答。这不是过头。这是最低限度。而大多数公司连这一点都还没做到。

McHire平台内部究竟发生了什么?

一张分步图展示了确切的攻击链条——从默认凭据到IDOR漏洞利用再到大规模数据访问——让整个技术流程一目了然。

这次泄露并不是由威胁情报团队或政府机构发现的。它始于两名安全研究人员——Ian Carroll和Sam Curry——他们注意到一件很平常的事:用户抱怨"Olivia"聊天机器人有故障。前端体验既笨拙又不可靠。

这个细节很重要。根据我的经验,一个有问题的前端几乎总是一个信号。如果一家公司连用户能看到的部分都没有投入,那可想而知他们看不到的部分正在发生什么。

Carroll和Curry开始四处试探,发现了一个原本供Paradox.ai员工使用的管理门户——Paradox.ai正是代表麦当劳构建和运营McHire的供应商。他们尝试了一个测试账户。用户名?"123456"。密码?"123456"。竟然成功了。

我记得读到这里时,感到一种任何构建过生产系统的人都能体会的特定愤怒。这不是惊讶——而是明知这一切完全可以预防的那种怒火。这不是Kubernetes集群里某个微妙的配置错误。它相当于把金库大门敞开,还贴了张便利贴写着"钥匙在门垫下"。

但密码只是第一阶段。一旦进入内部,研究人员发现了一个不安全的直接对象引用漏洞——用安全术语说就是IDOR。这意味着该API并不验证已登录用户是否真的有权限查看某个特定求职者的数据。只要更改URL中的求职者ID编号——真的就是把一个数字往上加——他们就能调出系统中任何求职者的完整记录。

整整六千四百万人的记录。

为什么性格测试数据是最不该泄露的那类数据

这就是大多数关于这次泄露的报道搞错的地方。头条都聚焦在密码上——"123456",哈哈,多蠢啊——然后就翻篇了。但真正的灾难不是那个凭据。而是它背后的东西。

信用卡号可以注销。密码可以更改。但性格评估结果呢?行为筛查分数呢?那些AI探究你的性情、你的情绪反应、你的冲突处理方式的对话记录呢?

那些数据就是。它们不会过期。

当一份性格档案泄露时,你没法像换密码那样把它轮换掉。你的心理测量指纹将永远伴随着你。

泄露事件之后,我熬了一个深夜,读了一些关于数据暴露心理影响的研究。这些数字触目惊心:近70%的泄露受害者表示自己长期无法信任他人。三分之二的人经历着深切的无助感。有研究将个人数据暴露与焦虑、抑郁和创伤后应激障碍联系起来。而严重程度会随着数据的私密程度而升级——一个泄露的电子邮件地址让人刺痛;而一份说你"情绪不稳定"或"责任心低下"的泄露性格评估,会让人感觉像被公开解剖。

对于求职者来说——他们中许多人很年轻,许多人是在申请自己在快餐连锁店的第一份工作——这尤其残酷。他们做了性格测试,只因为一个AI让他们做。他们根本无从真正了解自己被收集了什么数据、数据如何存储、谁能访问。而如今这些数据已经泄露出去,可能永远都收不回来,在这个未来的雇主、保险公司或不法分子都可能利用推断出的特质来对付他们的世界里。

我的团队为此起过争执。我们的一位工程师说:"你看,数据是暴露了,但很可能并没有被大规模窃取——研究人员是负责任地上报的。"从技术上讲,这没错。Paradox在收到通知后几小时内就修补了漏洞。但我强烈反驳。问题的关键不在于这一个特定的数据集有没有最终出现在暗网论坛上。关键在于这套架构允许它发生。这个系统的设计方式,使得一个默认密码加一个浏览器就足以访问6400万人的心理测量档案。那不是一次侥幸躲过的险情。那是一次设计理念上的失败。

越南的那名开发人员和那个解锁一切的密码

这个故事还有一条没有得到足够关注的支线。调查显示,一名常驻越南的Paradox.ai开发人员被一种名为Nexus Stealer的恶意软件感染了——那是一款在网络犯罪论坛上出售的凭据窃取工具。这次感染从该开发人员的设备上窃取了数百个密码。其中许多密码都很糟糕,而且是重复使用的,在多个服务中都用了同一个七位数的基础密码。

这一名被入侵的开发人员,暴露了与Paradox.ai账户相关联的凭据,涉及的客户包括百事、洛克希德·马丁、劳氏和Aramark。

我希望你花点时间体会一下这件事。一个人。一台被感染的笔记本电脑。一个重复使用的密码。突然之间,美国一些最大雇主的招聘数据就置于风险之中了。

这就是我所说的"人为节点"问题,它比任何奇特的AI攻击途径都更让我夜不能寐。你可以构建世界上最复杂的模型,用纯净的数据对它进行微调,用护栏把它层层包裹——然后一个开发人员的密码卫生习惯崩溃,整座纸牌屋就塌了。2025年一次数据泄露的平均成本达到了444万美元。但各家机构还是一直把身份管理当作事后才想起来的东西,交给IT团队用一段没人看的年度培训视频来应付。

你AI系统的安全性,永远不会强过链条中最薄弱的那个人为凭据。

在Veriprajna,我们围绕这样一个假设来构建架构:人员访问是一个高风险途径,需要持续验证——业界称之为零信任。这不是因为我们不信任自己的团队,而是因为我见过当你信任任何单一认证点去独自守住防线时会发生什么。

"深度AI"究竟意味着什么——你为什么应该在意?

我需要引入一个区分,我认为它是当下企业AI领域最重要的理念,而McHire数据泄露事件恰恰完美地诠释了它:AI外壳(Wrapper)和我们所称的深度AI之间的区别。

当大多数公司说自己在"做AI"时,它们实际构建的就是AI外壳。它是一个薄薄的应用层——通常是一个聊天机器人或一个表单——把用户输入通过API发送给GPT-4或Claude这样的基础模型,得到一个回复,然后展示出来。这个AI是你在租用的一项服务。你的应用只是店面。安全、数据管理、治理——那些都是事后才拴上去的,用的还是你为任何增删改查(CRUD)应用所用的那套网页开发做法。

Paradox.ai的"Olivia",从架构上说,就是一个外壳。当然,是个精巧的外壳。但它的安全态势锚定在传统的网页基础设施上——而那套基础设施在能想象到的最基本层面上失守了。

深度AI则从根本上不同。它把AI模型当作一种架构原语——就像数据库或消息队列一样——拥有自己的安全边界、自己的访问控制、自己的审计追踪。模型不是你去调用的一个黑箱;它是你去治理的一个组件。你构建提示词路由器、记忆层、反馈评估器。你实施分层防御,假设每一个输入都是敌对的,每一个输出都是不可信的。

我在我们研究的交互式版本中深入探讨了这一架构理念,但核心洞见很简单:如果你的AI安全策略是"我们会加上身份认证和一个WAF",那你就是在构建一个外壳,而你距离一场灾难,只差一个默认密码。

那套没人愿意去构建的五层防御

一张同心环形的防御架构图,展示了从最外层到最内层的五个安全层,每一环的功能都有清晰的标注。

McHire的消息出来后,我把我的工程团队拉进一个房间,说:"给我详细讲讲,我们的技术栈本来会怎样阻止这件事。"不是因为我怀疑他们——而是因为我想对每一个假设做压力测试。

我们为此花了三个小时。在某一刻,我们的首席安全工程师在白板上画了一张图,看起来像一座中世纪城堡的剖面——一圈圈同心的防御环,每一环都独立运作。若一环失守,下一环仍能守住。它在实践中是这样的:

最外层的一环是输入净化——每一条提示词、每一次API调用,都会被剥离掉任何可能被误解为注入命令的东西。第二环是启发式威胁检测,主动扫描已知的对抗性模式。第三环是元提示词包装,用户的请求会被封装进一个安全的指令信封中,而模型无法覆盖这些指令。

第四环是变得有意思的地方:哨兵模型与裁决模型。一个较小的模型先分析请求。如果它标记出某些可疑之处,第二个模型来做最终决定。这就像是AI的搭档制度——没有任何单一模型可以擅自行动。

第五环,也是最内层的一环,是输出验证。AI生成的每一个回复,在被证明清白之前,都被视为不可信的。PII脱敏层扫描敏感数据。毒性分类器检查有害内容。任何东西不经检查都无法通过。

在那次白板讨论中让我感到沮丧的是:这些东西没有一样是奇特的。没有一样需要研究上的突破。这只是把工程纪律应用到一个新领域而已。大多数公司之所以不这么做,是因为它昂贵、缓慢,而且演示效果不好。一个外壳聊天机器人可以在一个周末就搭好,周一就拿去给董事会展示。而一个治理得当的AI系统需要几个月。你猜哪一个能拿到经费。

AI行业有个"演示"难题:在路演中打动投资者的东西,与在生产环境中保护用户的东西,在架构上恰恰是相反的。

为什么法律把性格数据当作放射性物质一样对待?

我跟每一位CTO交谈时都会被问到一个问题:"这里面的法律风险,到底有多严重?"

答案是:可能是生死攸关的。

根据CCPA,如果未加密的个人信息因未能维护"合理的安全程序"而被窃取,企业可能会被起诉。法定赔偿金为每位消费者每起事件750美元。用它乘以6400万条记录,你面对的就是一笔480亿美元的理论负债。没有哪个法院会判决这个全额,但即便只是其中一小部分,也足以让公司倒闭。

根据GDPR,罚款上限为2000万欧元或全球年营业额的4%——以较高者为准。而欧盟《人工智能法案》将招聘AI归类为"高风险",对于未遵守强制性风险评估和人工监督要求的行为,引入了最高3500万欧元或全球营业额7%的罚款。

但大多数法律分析忽略的一点是:声誉损害比罚款更严重。泄露事件发生几周后,我与一家《财富》500强公司的首席人力资源官交谈。她告诉我,她的团队一直在评估AI招聘工具,并已经筛选出了三家入围供应商。McHire事件之后,CEO把整个项目叫停了。"我们再手动做一年,"他说。"我可不想成为下一个头条。"

这才是真正的代价。不只是对Paradox.ai而言,而是对每一家试图与企业买家建立信任的正当AI公司而言。一次灾难性的泄露,就把所有人的这口井都毒了。

你到底该如何治理一个替人做决定的AI?

这就到了我必须坦诚一件令人不舒服的事情的地方:治理框架听起来很枯燥。ISO 42001、NIST AI RMF、面向LLM的OWASP十大风险——这些都不是能让创始人在晚宴上兴奋起来的东西。但它们正是把能扛住监管审查的公司与扛不住的公司区分开来的东西。

ISO 42001是全球首个针对AI管理系统的国际标准。它要求组织识别AI特有的风险、为透明度和安全性设立明确的目标、对每一个AI系统进行影响评估,并通过内部审计保持持续监控。它不是一次打勾走过场的操作——它是一套管理系统,迫使你像思考财务内控那样去思考AI治理。

NIST人工智能风险管理框架提供了政策上的锚点,围绕四大职能组织:治理(GOVERN)、映射(MAP)、度量(MEASURE)、管理(MANAGE)。在Paradox泄露事件中,治理(GOVERN)这一职能失守得最为明显——对于停用那个自2019年以来一直搁置在那里的陈旧管理员账户,没有任何组织层面的问责机制。

而OWASP框架——尤其是它2025年针对代理型AI(agentic AI)的更新——为开发者提供了一份按严重程度排序的最关键漏洞分类清单。代理目标劫持(Agent Goal Hijack),即恶意内容改变一个代理的核心行为。工具滥用(Tool Misuse),即一个代理被诱骗将某项合法能力用于有害目的。记忆投毒(Memory Poisoning),即坏数据被注入到一个持久性代理的长期记忆中。

想要完整了解这些框架如何相互交织的技术细节,包括具体实施方式和一份90天的CXO路线图,我已经发表了一篇详尽的配套论文。但其执行摘要就是这样:到2026年,AI治理将不再是可选项。它将成为与任何拥有法务团队的企业开展业务的先决条件。

"我们就不能以后再加安全措施吗?"

人们不断这样问我。答案永远是同一个,而且永远令人不舒服:不行。你做不到。

事后才拴上去的安全就是安全表演。它就像给一扇已经从合页上卸下来的门加一把锁。McHire泄露事件证明了这一点——Paradox.ai有身份认证。他们有管理门户。他们大概也有某种安全审查流程。但因为安全从第一天起就没有被嵌入到架构中,整个系统的强度也就只等于一个连幼儿都能猜到的密码。

我听到的另一种异议是:"可我们用的是一家大型云服务商。他们的安全难道还不够好吗?"那名在越南的Paradox开发人员是被一款商品化的恶意软件攻陷的——不是云基础设施漏洞。你的云服务商可以拥有完美的安全,而你的系统依然可能被攻破,只因为一名开发人员在多个服务间重复使用了同一个密码。边界并不在你以为的地方。

然后还有一种让我真正愤怒的说法:"我们的AI供应商会处理安全问题。"这恰恰正是麦当劳当时的想法。他们把AI招聘外包给了Paradox.ai,而在这么做的同时,也把自己的安全态势外包给了一家管理门户用"123456"来保护的供应商。如今,供应链就是安全边界。如果你不以对待自身AI基础设施同样的严格程度去治理你供应商的AI基础设施,那你不是在委托风险——你是在无视它。

那个我挥之不去的念头

这就是在McHire事件最初爆出几周之后,我一直反复想起的东西。

六千四百万人——他们中许多是青少年,许多是在申请自己的第一份工作——坐在屏幕前,回答一个AI聊天机器人的问题。他们分享了关于自己的信息,只因为系统让他们这么做。他们没有筹码,没有议价能力,没有能力说出"其实,我宁可不做性格测试也能去翻汉堡"。这种权力上的不对等是彻底的。

而那个保管着他们数据的系统——他们的姓名、他们的行为档案、AI对他们性格的评估——用的竟是和我女儿玩Roblox账户所用一样的密码。

我们构建出了能够大规模评估人类性格的AI系统。我们却忘了去保护那些人。

这不是一个技术问题。这是一个价值观问题。这是当行业把AI当作一件要交付的产品、而不是一个要治理的系统时会发生的事。是当"快速行动、打破陈规"撞上"我们正在对人们的生计做出自动化决策"时会发生的事。

外壳的时代已经结束了。那些能挺过下一波监管、下一次泄露、下一场公众清算的公司——将是那些把安全构建进地基里的公司,而不是那些在上了头条之后才把安全拴上去的公司。在Veriprajna,那是我们唯一愿意去构建的那种AI。不是因为它更容易。而是因为除此之外的做法都是无从辩护的。

密码"123456"本该是一件遗物。而那套让它得以造成影响的架构,本该已经绝迹。至于那6400万数据被暴露的人,他们理应得到比行业当前对"够好了"的定义更好的对待。

相关研究

同步发布于

满怀信心地构建您的 AI。

与一支在打造新一代企业级 AI 方面拥有深厚经验的团队携手合作。让我们助您设计、构建并部署一套值得信赖的 AI 战略。

Veriprajna 深度科技咨询公司 专注于为医疗健康、金融和监管等领域构建安全攸关的 AI 系统。我们的架构均依据成熟的规范进行验证,并配有完善的合规文档。