Σκάνδαλο McDonald's: Πώς το AI Chatbot Προσλήψεων Εξέθεσε Δεδομένα 64 Εκατομμυρίων Υποψηφίων
Η ραγδαία εξέλιξη της τεχνολογίας AI φέρνει μια επανάσταση στον τρόπο λειτουργίας των επιχειρήσεων. Καθώς όμως τα μεγάλα γλωσσικά μοντέλα (LLMs) ενσωματώνονται όλο και περισσότερο στις πλατφόρμες που καθορίζουν την καθημερινότητά μας, αρχίζουν να εμφανίζονται σοβαρές ατέλειες στις δυνατότητες ασφαλείας τους, με ανησυχητικές συνέπειες για τα προσωπικά δεδομένα όλων μας.
Τα McDonald's είναι ανάμεσα στη διαρκώς αυξανόμενη λίστα εταιρειών που έχουν ενσωματώσει βιαστικά chatbots βασισμένα σε LLM στα συστήματα προσλήψεών τους, αδιαφορώντας για τους κινδύνους. Το chatbot τους, κατασκευασμένο από την Paradox.ai, το οποίο τα McDonald's αποκαλούν «εικονικό βοηθό προσλήψεων», ακούει στο όνομα Olivia.
Γνωρίστε την Olivia: Το AI Chatbot της McDonald's
Η Olivia είναι παραπάνω από πρόθυμη να βοηθήσει τους υποψήφιους να βρουν δουλειές κοντά τους μέσα από μια ψευδο-ζωντανή συνομιλία, η οποία μάλιστα συνοδεύεται από τη φωτογραφία ενός ανθρώπου-υπαλλήλου για να κάνει την όλη εμπειρία ακόμη πιο αλλόκοτη.
Ως ένα τυπικό AI chatbot, η Olivia δεν αποτελεί κάποια τεχνολογική καινοτομία. Καθοδηγεί όσους αναζητούν εργασία μέσα από έναν λαβύρινθο ακατανόητων τεστ προσωπικότητας και ερωτήσεων διαλογής, με τις εκνευριστικές «ψευδαισθήσεις» (hallucinations) που θα περίμενε κανείς από ένα LLM που δεν έχει βελτιστοποιηθεί σωστά.
Ωστόσο, για έναν hacker με γνώσεις στο πώς να παρακάμπτει την ασφάλεια των LLMs, η Olivia αποδείχθηκε ένας θησαυρός που περίμενε να αποκαλυφθεί.
Η Σοκαριστική Διαρροή Δεδομένων
Όπως ανέφερε πρώτο το Wired, η Olivia έκρυβε ένα τεράστιο κενό ασφαλείας ακριβώς κάτω από την ψεύτικη ανθρώπινη «επιδερμίδα» της.
Με τις κατάλληλες τεχνικές, ένας hacker θα μπορούσε να αποκτήσει πρόσβαση στα αρχεία συνομιλιών 64 εκατομμυρίων υποψηφίων των McDonald's.
Τι Είδους Δεδομένα Εκτέθηκαν;
Τα δεδομένα που εκτέθηκαν περιλάμβαναν ευαίσθητες προσωπικές πληροφορίες, όπως:
- Ονοματεπώνυμα
- Διευθύνσεις email
- Αριθμούς τηλεφώνου
- Διευθύνσεις κατοικίας
- Διαθεσιμότητα για εργασία
- Ακατέργαστα δεδομένα συνομιλιών (raw chat data)
Η Απίστευτη Αμέλεια στην Κυβερνοασφάλεια
Αυτή η σοκαριστική αδυναμία ανακαλύφθηκε από τους ερευνητές κυβερνοασφάλειας Ian Carroll και Sam Curry. Οι ερευνητές κατάφεραν να διεισδύσουν στο backend του LLM της Paradox.ai χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης "123456".
Από εκεί, οι "white hat" hackers μπόρεσαν να αποκτήσουν πρόσβαση στο "δοκιμαστικό εστιατόριο" (test restaurant) της εταιρείας AI, παίρνοντας μια γεύση του πώς λειτουργούσε ολόκληρο το σύστημα.
Το Μάθημα για την Αγορά και το GDPR
Το περιστατικό αυτό υπογραμμίζει τους κινδύνους που εγκυμονεί η υιοθέτηση προηγμένων AI συστημάτων χωρίς τα απαραίτητα μέτρα ασφαλείας. Αποτελεί ένα κρίσιμο μάθημα για την ελληνική και ευρωπαϊκή αγορά, η οποία οφείλει να προστατεύει τα δεδομένα των πολιτών υπό το πρίσμα του GDPR. Το μέλλον της τεχνητής νοημοσύνης εξαρτάται από την εμπιστοσύνη, και τέτοια σκάνδαλα την υπονομεύουν σοβαρά.