Günümüzde yapay zekâ, insan kaynakları süreçlerinden müşteri hizmetlerine kadar birçok alanda kullanılmaya başlandı. Fakat McDonald’s’ın işe alım sürecinde kullandığı yapay zekâ takviyeli sohbet robotu Olivia, bu süratli entegrasyonun güvenlik açısından ne kadar riskli olabileceğini gözler önüne serdi. Paradox.ai isimli bir yapay zekâ platformu üzerinde çalışan sistem, önemli bir açıkla birlikte 64 milyondan fazla başvuru sahibinin ferdî datalarını tehlikeye attı. Paradox.ai tabanlı Olivia sohbet robotu, 64 milyon iş müracaatının datalarını açığa çıkardı
Paradox.ai tabanlı Olivia, McDonald’s’ın sanal işe alım asistanıydı. Adaylara yakınlarındaki açık durumları gösteriyor, müracaat süreçlerini yönlendiriyor ve hatta daha insansı bir tecrübe yaratmak ismine bir insan çalışan fotoğrafı dahi sunuyordu. Fakat, teknik olarak dikkat cazibeli olmayan bu sohbet robotu, derinlemesine incelendiğinde siber güvenlik uzmanları için adeta bir açıklar hazinesi hâline geldi.
Wired tarafından ortaya çıkarılan bilgilere nazaran güvenlik araştırmacıları Ian Carroll ve Sam Curry, sistemin art ucuna erişim sağlamak için sadece 123456 gibi kolay bir kullanıcı ismi ve parola kombinasyonu kullandılar. Bu kolay girişle, sırf sistemin demo versiyonuna değil, birebir vakitte milyonlarca kişinin isim, adres, e-posta, telefon numarası ve iş müracaat geçmişine ulaşabilecekleri tam erişim düzeyine ulaştılar.
Carroll, süreci kendi blogunda ayrıntılarıyla paylaştı. Paradox’un test ortamındaki bir restoran yöneticisi rolüne erişim sağladıklarını ve akabinde müracaat sisteminin iç yapısını tahlil etmeye başladıklarını belirtti. Kod üzerinde yaptıkları incelemelerde, her müracaata ilişkin numaraları ve ferdî bilgi akışlarını direkt görüntüleyebildiler. Bilhassa 64 milyondan fazla müracaat numarasının sistemde sıralı olarak erişilebilir olması, sistemsel bir zaafın en açık göstergesi oldu.
Carroll, bu açıkları fark ettikten sonra durumu Paradox yetkililerine bildirdiklerini, fakat resmi bir güvenlik bildirim kanalına ulaşmakta zorluk çektiklerini aktardı. Gelişmeler üzerine sistemdeki açık kapatıldı ve zayıf şifre güncellendi. Lakin bu yaşananlar, yapay zekânın şirket altyapılarına entegre edilmesinde ne kadar dikkatli olunması gerektiğini bir kere daha hatırlattı.
