インシデント 1179: マクドナルドのAI採用プラットフォーム「McHire」が、デフォルトのログインとAPIの脆弱性により6400万人の応募者データを公開したと報じられている。
概要: 研究者のイアン・キャロル氏とサム・カリー氏は、マクドナルドのAI採用ツール「McHire」(Paradox.aiの「Olivia」チャットボットを使用)が、デフォルトの管理者認証情報と内部APIの安全でないオブジェクト直接参照を介してアクセスされる可能性があると報告しました。この脆弱性により、応募者の個人情報やチャット履歴を閲覧できるとされています。マクドナルドとParadoxは、情報開示から1日以内に問題を修正したと報じられています。Paradoxによると、アクセスされたのは5件のみでした。
Editor Notes: The following URL leads to the Reddit thread that ultimately led to the reported discovery: https://www.reddit.com/r/mildlyinfuriating/comments/1lo9s75/mcdonalds_hiring_ai_is_making_me_go_insane/.
推定: McDonald's , Paradox.ai , McHire と Paradox.ai's Olivia chatbotが開発し提供したAIシステムで、McDonald's applicantsに影響を与えた
関与が疑われるAIシステム: McHire と Paradox.ai's Olivia chatbot
インシデントのステータス
Risk Subdomain
A further 23 subdomains create an accessible and understandable classification of hazards and harms associated with AI
2.1. Compromise of privacy by obtaining, leaking or correctly inferring sensitive information
Risk Domain
The Domain Taxonomy of AI Risks classifies risks into seven AI risk domains: (1) Discrimination & toxicity, (2) Privacy & security, (3) Misinformation, (4) Malicious actors & misuse, (5) Human-computer interaction, (6) Socioeconomic & environmental harms, and (7) AI system safety, failures & limitations.
- Privacy & Security
Entity
Which, if any, entity is presented as the main cause of the risk
Human
Timing
The stage in the AI lifecycle at which the risk is presented as occurring
Post-deployment
Intent
Whether the risk is presented as occurring as an expected or unexpected outcome from pursuing a goal
Unintentional
インシデントレポート
レポートタイムライン
Loading...
マクドナルドのAI採用プラットフォーム「McHire」にセキュリティ上の不備があり、最大6,400万人の求職者の機密応募者データが漏洩していたことが発覚しました。
2025年6月下旬、セキュリティ研究者のイアン・キャロル氏とサム・カリー氏によって発見されたこの問題は、デフォルトの管理者ログインと、McHireの自動採用ボット「Olivia」との応募者のチャット履歴へのアクセスを可能にする内部APIにおける安全でない直接オブジェクト参照(IDOR)に起因していました。
「マクド…
Loading...
バリアント
「バリアント」は既存のAIインシデントと同じ原因要素を共有し、同様な被害を引き起こし、同じ知的システムを含んだインシデントです。バリアントは完全に独立したインシデントとしてインデックスするのではなく、データベースに最初に投稿された同様なインシデントの元にインシデントのバリエーションとして一覧します。インシデントデータベースの他の投稿タイプとは違い、バリアントではインシデントデータベース以外の根拠のレポートは要求されません。詳細についてはこの研究論文を参照してください
似たようなものを見つけましたか?
よく似たインシデント
Did our AI mess up? Flag the unrelated incidents
よく似たインシデント
Did our AI mess up? Flag the unrelated incidents