企业安全 - HRTechChina.com - 向上的力量！

企业安全

【警惕】AI招聘的隐形风险：从 Mercor 数据泄露到 HR“自建系统”失控边界 HRTech概述：在AI快速进入招聘与人力资源管理核心流程的当下，一个被行业系统性忽视的问题正在逐渐显现：HR不仅在使用AI工具，也在无意中成为企业数据风险与合规风险的直接承担者。近期AI招聘公司 Mercor 遭遇网络攻击的事件，与 Ben Eubanks 对“vibe coding”现象的警示，实际上共同指向同一个更深层的趋势——AI正在打破HR系统原有的边界，而组织尚未建立与之匹配的治理能力。 Mercor事件：AI招聘架构的系统性脆弱性从表面看，Mercor事件是一次典型的数据安全事故，其攻击路径被认为与开源项目 LiteLLM 的漏洞相关。但如果从架构层面分析，这并非孤立事件，而是AI招聘系统普遍面临的结构性问题。首先，AI招聘平台天然依赖大量外部组件，包括模型接口、中间层工具和API调用，这使得系统不再是传统意义上的“封闭HR系统”，而是一个高度开放的技术网络。一旦某个环节（例如开源组件）出现漏洞，风险就会沿着调用链迅速扩散，形成供应链级别的安全事件。其次，AI招聘系统的数据集中度显著提高。相比传统ATS仅存储简历信息，AI平台往往整合视频面试数据、评估标签、行为分析结果等更高价值的数据资产。这类数据不仅敏感程度更高，而且结构更复杂，一旦泄露，其影响远超传统数据泄露事件。第三，AI系统本身扩大了攻击面。每一个模型调用、每一次数据传输、每一个API接口，都是潜在的攻击入口。这意味着，AI并不是简单叠加在HR系统之上，而是从根本上改变了系统的风险结构。 HR自建AI工具：效率背后的合规与安全盲区与Mercor事件几乎同步发生的，是HR领域快速兴起的“自建工具”趋势。在 ChatGPT、Claude 等生成式AI工具的推动下，越来越多HR开始尝试通过简单脚本或自动化流程优化工作。例如，将候选人简历从ATS导出，上传至AI模型进行评分，再将结果回写系统。这类流程在操作层面看似高效，但在法律与合规层面却存在明显风险。最直接的问题是数据传输与第三方使用。当候选人数据被上传至外部AI平台时，数据是否获得授权、是否跨境传输、是否被用于模型训练，往往并不透明。在GDPR以及美国部分州的数据保护法规框架下，这种未经明确授权的数据使用，很可能已经构成违规。其次，AI参与招聘决策还涉及自动化决策与潜在歧视问题。如果AI模型参与候选人筛选或排序，企业需要具备解释其决策逻辑的能力，而“vibe coding”生成的工具通常缺乏可审计性，这在法律争议中将成为重大风险点。更关键的是，很多HR忽略了一个根本差异：原型工具与企业级系统之间存在本质鸿沟。一个可以快速运行的脚本，并不等同于一个可以长期稳定、安全、合规运行的生产系统。企业级系统必须具备安全性、稳定性、权限控制、审计能力等一整套机制，而这些恰恰是“自建工具”最容易缺失的部分。从工具使用者到风险承担者：HR角色的结构性变化这两类现象叠加后，实际上揭示了HR职能的一个重要转变。过去，HR主要是流程与人员管理的执行者，而在AI时代，HR开始不可避免地承担数据治理与AI使用风险的责任。招聘流程中每一次数据调用、每一次工具接入、每一次自动化决策，都在扩展HR的责任边界。问题在于，大多数HR团队并未为这种转变做好准备。缺乏对数据流的理解、不熟悉API调用逻辑、不了解第三方工具的合规边界，使得HR在拥有更多技术能力的同时，也暴露在更高的风险之中。这种“能力未匹配责任”的状态，使AI在HR场景中的应用呈现出一种典型的失衡：工具能力迅速提升，但治理能力严重滞后。行业拐点：效率导向正在让位于治理能力当前HRTech行业普遍强调AI带来的效率提升，但Mercor事件以及围绕“自建工具”的争议，正在推动行业进入一个新的阶段。未来的竞争不再仅仅取决于谁用AI更多，而在于谁能够建立清晰的数据边界与治理体系。企业需要回答的不只是“能否用AI提升效率”，而是“在什么范围内使用AI是安全且合规的”。这意味着，HRTech产品与HR团队本身，都需要从“工具导向”转向“治理导向”。包括建立数据使用规范、明确AI参与决策的边界、区分个人效率工具与企业生产系统，以及引入必要的审计与安全机制。这些能力将成为下一阶段HR数字化转型的核心竞争力。从风险暴露到能力建设：RAIHR正在成为行业共识如果说 Mercor 事件揭示的是“风险已经发生”，那么当前HR领域更需要面对的问题是：我们是否具备管理这些风险的能力。早在2024年，HRTechChina 就已经开始持续呼吁行业正视这一变化，并正式发起了“RAIHR（Responsible AI in HR）”倡议，尝试为HR在AI时代建立一套清晰的能力框架与实践边界。该倡议的核心，并不是讨论“是否使用AI”，而是回答一个更关键的问题：在使用AI的过程中，HR应该承担什么责任，以及如何建立可控、可审计、可合规的使用机制。从实践角度看，RAIHR关注的并不是工具本身，而是三个更底层的问题：数据如何使用、决策如何产生、系统如何被管理。这恰好对应当前HR在AI应用中最容易忽视、但风险最高的三个领域。换句话说，RAIHR试图解决的，是从“工具使用能力”到“风险治理能力”的跃迁。结合当前行业的发展阶段，可以看到一个越来越清晰的分水岭正在形成：一部分HR仍停留在“如何更高效使用AI工具”，而另一部分HR，已经开始思考“如何在不产生风险的前提下使用AI”。前者决定效率，后者决定边界与长期价值。在这一背景下，RAIHR不再只是一个概念，而更像是一种必要的行业基础设施。随着监管趋严、企业数据风险不断上升，以及AI在招聘与管理中的深度嵌入，是否具备RAIHR能力，将逐渐成为HR专业度的重要标志之一。对于企业而言，这意味着需要建立明确的AI使用规范与审计机制；对于HR个人而言，这意味着必须理解数据流、决策逻辑与系统边界；对于HRTech行业而言，这意味着产品与服务必须从“功能导向”走向“合规与治理导向”。 AI不会放慢进入HR的速度，但风险正在同步放大。真正的问题，不是是否使用AI，而是是否在有边界的情况下使用AI。在这个阶段，再次呼吁行业正视这一变化：从今天开始，把“Responsible AI in HR”作为一个必须建立的基础能力，而不是一个可以延后讨论的话题。

企业安全
2026年04月09日
企业安全

Avanan筹集了2500万美元，彻底改变了企业如何保护SaaS电子邮件和协作 Avanan是唯一一家在工作场所使用SaaS保护企业的多供应商安全应用商店 Avanan是一家基于SaaS的电子邮件和协作平台的企业安全提供商，今天宣布已从现有投资者StageOne Ventures，Magma Venture Partners和Greenfield Partners（TPG Growth投资平台）筹集了2500万美元的B轮融资。Avanan的客户群在过去12个月中增长了10倍，保护了行业（从创业公司到财富100强）的组织中超过一百万的最终用户帐户。Avanan计划使用新的资金来进一步加速其增长。 “我们投资Avanan，因为我们相信统一的多供应商安全平台是一个革命性的解决方案，在一个拥有众多点解决方案的市场中，”Greenfield Partners的投资者Yuda Doron说。“我们正在大规模采用基于SaaS的电子邮件和协作; 每家公司都需要采用像Avanan这样的解决方案，就像他们需要在他们的Windows PC上安装防病毒一样。” Avanan帮助公司保护完整的Office 365套件，G Suite，Box，ShareFile，Slack和其他协作SaaS应用程序，防止网络钓鱼攻击，恶意内容，数据泄露，帐户接管等。Avanan与众不同的是它的多供应商平台，它允许客户从业内领先的供应商那里挑选安全技术。这些供应商的每一项安全技术都是通过一次点击从Avanan平台内部进行预配置和激活的。 “使用基于SaaS的电子邮件和协作平台的公司很快意识到黑客会找到绕过其安全性的方法。在Avanan之前，额外安全性的选择仅限于试图使其代理解决方案适应云的传统电子邮件安全供应商，”Avanan首席执行官兼联合创始人Gil Friedrich说。“Avanan对我们如何保护客户的环境采取了完全不同的方法。通过直接连接到云，我们不仅可以更快地部署，还可以检测并阻止代理因其在云外的位置而无法看到的所有威胁。与客户的不同之处在于日夜。” “由于Avanan在默认安全性之后但在收件箱之前扫描，我们的反网络钓鱼算法专门用于查找和阻止微软和Google错过的攻击，”Avanan的联合创始人兼产品副总裁Roy Rotem补充道。“这是我们拥有业内最高网络钓鱼捕获率的关键原因。” 在Avanan平台中，客户可以购买包含Avanan和Avanan合作伙伴（或单点）安全技术的预定义捆绑包，从而选择他们希望在每个类别中使用的确切技术和供应商。以上为AI翻译，内容仅供参考。原文链接：Avanan Raises $25 Million to Revolutionize How Businesses Secure SaaS Email and Collaboration

企业安全
2018年12月18日
企业安全

提供企业安全服务？“漏洞银行”认为众测悬赏和综合诊断要两手抓安全问题，对于企业来讲，重要程度自然不言而喻。随着互联网的普及，企业面临的安全威胁越来越严峻，维持成本也越来越高，而中国有 5000 万中小企业，攻击漏洞所造成的损失一年超千亿。面对企业的漏洞风险，包括微软、谷歌、Facebook 等都提出了 SRC (Security Response Center，安全应急响应中心) 的概念，发动全网有奉献精神的白帽子来为企业提交漏洞，以提高安全防御能力。国内包括 BAT 在内的大型互联网公司也都建立了自己的 SRC 平台。 “但这个对于中小型企业而言，成本太高了。它们要构建一个自己的 SRC，大约每年需要 150 万元的投入成本，包括至少雇佣三个技术和两个运营人员。”漏洞银行的创始人罗清篮告诉记者，团队的初衷就是通过众包模式为企业客户寻找漏洞，帮助其用低成本建立起 SRC 中心。简单点说，就是在社区里聚集一群白帽子，让这些白帽子解决企业提出的安全检测需求。目前，共有近千家企业和五千位活跃白帽子入驻漏洞银行 SaaS 平台，企业根据发现安全漏洞大小和数量，对白帽开展定价悬赏。悬赏金额根据不同的情报线索有所区别，高的在 2 万-10 万，低的可能几千元一个。目前阶段，平台暂不收费，等规模做大了，会考虑抽取一定金额的服务费。 15年一整年，罗清篮和他的团队都在搭建这个平台，产品 16年初算是正式上线。他坦言前期的运营耗费了大量的精力，因为白帽这个群体非常特殊，是互联网上最难伺候的用户。“他们就是找问题的人，所以也会给你的平台找大量的问题。所以我们也是在他们帮助下，一步步迭代和完善。” 至于如何吸引到这批白帽，团队的方法是建立一个 PWN 栏目将最新的白帽技术公开出来，供大家学习和交流。谈及和乌云众测的区别，罗清篮认为最大的一个就是乌云会曝光企业安全漏洞，而漏洞银行以保护企业隐私为第一要务，不会选择曝光。因为企业客户面对众测这类安全服务时往往有一个顾虑：自己公司的漏洞会不会被公开或半公开披露，对企业信誉造成严重危害？其次，漏洞银行构建的企业 SRC 不单单是做悬赏，更多的是提供一个综合诊断的服务。平台后端拥有一批 40-50 人规模的专家团队，每天会去甄别和筛选这些威胁情报的真实性。 “也就是说，企业最终看到的那些情报都是经过我们验证过的、有效的。专家队伍也会和企业的技术人员联合，进行安全问题的排查和诊断。这种模式会比市面上的众测平台更成熟，因为悬赏很容易单单依靠白帽子的个人能力，企业更愿意相信有专业背景和技能的公司。” 漏洞银行为上海谋乐网络科技有限公司旗下的产品，公司规模近百人，去年获软银中国资本数百万美元的 A 轮融资。据悉，当前入驻的企业客户以互联网金融和电商平台类为主（对安全的需求相对刚需），包括宜信、1号店、大众点评等。来源：36氪，作者：人人酱，如若转载，请注明出处：http://36kr.com/p/5048114.html

企业安全
2016年06月15日
企业安全

企业安全与系统管理初创企业Tanium获1.2亿美元融资企业安全与系统管理初创企业 Tanium 透露已获 1.2 亿美元融资，领投方是 TPG 和 Institutional Venture Partners，据内幕人士透露，其估值已达 35 亿美元。 Tanium 是一家面向大规模企业计算环境提供端点安全与企业网络系统管理的初创企业，成立于 2007年，创始人是 Orion Hindawi 父子。传统上，安全与系统管理的解决方案一般是 C/S 式的，即需要进行安全保护与系统管理的端点（客户端计算机和设备）需要与提供安全防护和系统管理的服务器连接来获得服务，这样往往需要在端点设备处安装客户端软件，而且在终端数量庞大的情况下信息的收集往往需要数小时乃至数天，时效性不高，维护也不方便。而 Tanium 采取了一种革新性的办法，利用了 P2P 的机制来提供服务—也就是说，端点不是直接与服务器进行连接，而是与相邻的端点进行数据交换，最终把数据回传给服务器。这种办法可以快速扫描和映射网络，令管理员数秒内即可掌握数十万台设备的情况，并可在同样的时间内做出变更。而所有网络节点均可查询、管理、更新、保护，而且在浏览器上近乎实时（15 秒左右）进行。这种表现令 Tanium 获得了一批高价值的客户，其中包括 Visa、Amazon、Best Buy、美国国防部以及纳斯达克等，并且已经实现了现金流为正。去年公司订单收入已达 7400 万美元，而今年预计将达 2 亿美元。最近该公司还与普华永道达成了战略联盟，提供取证工具供后者帮助企业调查存在的安全漏洞。而这种表现引起了 A16Z 的关注，去年该 VC向 Tanium 投资了 9000 万美元，是其有史以来在企业端的第二大投资，今年5月又继续投资了 5200 万美元。至此，Tanium 的总融资额已达 2.62 亿美元。尽管不愿给出时间表，但 CTO Orion Hindawi 表示最终走向 IPO 的假设是合理的。本文参考了多个信息来源：recode.net、forbes.com

企业安全
2015年09月06日
企业安全

仅有38%的企业优先保障企业的安全方面支出——信息图尽管今年以来，有关网络犯罪、黑客攻击、以及数据泄露的新闻已经少见于报端，但是官方机构的抗击表现是否有所进步呢？遗憾的是，根据公布的信息图表，我们发现结果并没有那么乐观。援引的数据则来自针对超过500名私有和公共部门的高管和安全专家所进行的一次调查。调查结果显示，过去的一年时间里，77%的机构通报过安全漏洞，平均每个机构发生过135段“小插曲”。遗憾的是，仅有38%的受访者表示该机构会根据系统风险和业务影响而优先保证安全方面的支出。在那些被检测到的事件中，69%的受访者表示他们无法估计成本。但在得逞的案例中，网络攻击所造成的年平均损失已经达到了415000美元。甚至有19%的美国企业遭受了介于5万到100万美元之间的损失。在大家最担忧的事情中，是大多数企业的战略并未充分评估和了解系统安全、控制供应链风险、以及移动设备安全的重要性。该报告指出，要想有效打击网络犯罪，需要在对抗威胁的经验和知识上充分合作与分享。当然这也需要战略性的开支，特别是针对员工的安全培训。来源：199it

企业安全
2014年10月08日