-
Ben Eubanks
【警惕】AI招聘的隐形风险:从 Mercor 数据泄露到 HR“自建系统”失控边界
HRTech概述:在AI快速进入招聘与人力资源管理核心流程的当下,一个被行业系统性忽视的问题正在逐渐显现:HR不仅在使用AI工具,也在无意中成为企业数据风险与合规风险的直接承担者。近期AI招聘公司 Mercor 遭遇网络攻击的事件,与 Ben Eubanks 对“vibe coding”现象的警示,实际上共同指向同一个更深层的趋势——AI正在打破HR系统原有的边界,而组织尚未建立与之匹配的治理能力。
Mercor事件:AI招聘架构的系统性脆弱性
从表面看,Mercor事件是一次典型的数据安全事故,其攻击路径被认为与开源项目 LiteLLM 的漏洞相关。但如果从架构层面分析,这并非孤立事件,而是AI招聘系统普遍面临的结构性问题。首先,AI招聘平台天然依赖大量外部组件,包括模型接口、中间层工具和API调用,这使得系统不再是传统意义上的“封闭HR系统”,而是一个高度开放的技术网络。一旦某个环节(例如开源组件)出现漏洞,风险就会沿着调用链迅速扩散,形成供应链级别的安全事件。
其次,AI招聘系统的数据集中度显著提高。相比传统ATS仅存储简历信息,AI平台往往整合视频面试数据、评估标签、行为分析结果等更高价值的数据资产。这类数据不仅敏感程度更高,而且结构更复杂,一旦泄露,其影响远超传统数据泄露事件。第三,AI系统本身扩大了攻击面。每一个模型调用、每一次数据传输、每一个API接口,都是潜在的攻击入口。这意味着,AI并不是简单叠加在HR系统之上,而是从根本上改变了系统的风险结构。
HR自建AI工具:效率背后的合规与安全盲区
与Mercor事件几乎同步发生的,是HR领域快速兴起的“自建工具”趋势。在 ChatGPT、Claude 等生成式AI工具的推动下,越来越多HR开始尝试通过简单脚本或自动化流程优化工作。例如,将候选人简历从ATS导出,上传至AI模型进行评分,再将结果回写系统。这类流程在操作层面看似高效,但在法律与合规层面却存在明显风险。
最直接的问题是数据传输与第三方使用。当候选人数据被上传至外部AI平台时,数据是否获得授权、是否跨境传输、是否被用于模型训练,往往并不透明。在GDPR以及美国部分州的数据保护法规框架下,这种未经明确授权的数据使用,很可能已经构成违规。其次,AI参与招聘决策还涉及自动化决策与潜在歧视问题。如果AI模型参与候选人筛选或排序,企业需要具备解释其决策逻辑的能力,而“vibe coding”生成的工具通常缺乏可审计性,这在法律争议中将成为重大风险点。
更关键的是,很多HR忽略了一个根本差异:原型工具与企业级系统之间存在本质鸿沟。一个可以快速运行的脚本,并不等同于一个可以长期稳定、安全、合规运行的生产系统。企业级系统必须具备安全性、稳定性、权限控制、审计能力等一整套机制,而这些恰恰是“自建工具”最容易缺失的部分。
从工具使用者到风险承担者:HR角色的结构性变化
这两类现象叠加后,实际上揭示了HR职能的一个重要转变。过去,HR主要是流程与人员管理的执行者,而在AI时代,HR开始不可避免地承担数据治理与AI使用风险的责任。招聘流程中每一次数据调用、每一次工具接入、每一次自动化决策,都在扩展HR的责任边界。
问题在于,大多数HR团队并未为这种转变做好准备。缺乏对数据流的理解、不熟悉API调用逻辑、不了解第三方工具的合规边界,使得HR在拥有更多技术能力的同时,也暴露在更高的风险之中。这种“能力未匹配责任”的状态,使AI在HR场景中的应用呈现出一种典型的失衡:工具能力迅速提升,但治理能力严重滞后。
行业拐点:效率导向正在让位于治理能力
当前HRTech行业普遍强调AI带来的效率提升,但Mercor事件以及围绕“自建工具”的争议,正在推动行业进入一个新的阶段。未来的竞争不再仅仅取决于谁用AI更多,而在于谁能够建立清晰的数据边界与治理体系。企业需要回答的不只是“能否用AI提升效率”,而是“在什么范围内使用AI是安全且合规的”。
这意味着,HRTech产品与HR团队本身,都需要从“工具导向”转向“治理导向”。包括建立数据使用规范、明确AI参与决策的边界、区分个人效率工具与企业生产系统,以及引入必要的审计与安全机制。这些能力将成为下一阶段HR数字化转型的核心竞争力。
从风险暴露到能力建设:RAIHR正在成为行业共识
如果说 Mercor 事件揭示的是“风险已经发生”,那么当前HR领域更需要面对的问题是:我们是否具备管理这些风险的能力。
早在2024年,HRTechChina 就已经开始持续呼吁行业正视这一变化,并正式发起了“RAIHR(Responsible AI in HR)”倡议,尝试为HR在AI时代建立一套清晰的能力框架与实践边界。该倡议的核心,并不是讨论“是否使用AI”,而是回答一个更关键的问题:在使用AI的过程中,HR应该承担什么责任,以及如何建立可控、可审计、可合规的使用机制。
从实践角度看,RAIHR关注的并不是工具本身,而是三个更底层的问题:数据如何使用、决策如何产生、系统如何被管理。这恰好对应当前HR在AI应用中最容易忽视、但风险最高的三个领域。换句话说,RAIHR试图解决的,是从“工具使用能力”到“风险治理能力”的跃迁。
结合当前行业的发展阶段,可以看到一个越来越清晰的分水岭正在形成:一部分HR仍停留在“如何更高效使用AI工具”,而另一部分HR,已经开始思考“如何在不产生风险的前提下使用AI”。前者决定效率,后者决定边界与长期价值。
在这一背景下,RAIHR不再只是一个概念,而更像是一种必要的行业基础设施。随着监管趋严、企业数据风险不断上升,以及AI在招聘与管理中的深度嵌入,是否具备RAIHR能力,将逐渐成为HR专业度的重要标志之一。
对于企业而言,这意味着需要建立明确的AI使用规范与审计机制;对于HR个人而言,这意味着必须理解数据流、决策逻辑与系统边界;对于HRTech行业而言,这意味着产品与服务必须从“功能导向”走向“合规与治理导向”。
AI不会放慢进入HR的速度,但风险正在同步放大。真正的问题,不是是否使用AI,而是是否在有边界的情况下使用AI。
在这个阶段,再次呼吁行业正视这一变化:从今天开始,把“Responsible AI in HR”作为一个必须建立的基础能力,而不是一个可以延后讨论的话题。
-
Ben Eubanks
【未来趋势】建立组织中的技能数据
技能是现代组织的货币,公司有机会为涉及技能数据的每项实践增加价值和客观性。
特邀作者、人力资源思想领袖Ben Eubanks分享了他的见解
在科学中,让我印象深刻的一个概念是原子颗粒,因为它与我们在工作中如何进行人才决策有着非常明显的联系。原子是一种元素中最小的个体成分。它们有必要的特征来告诉我们这个元素是什么,它的属性是什么,而且你一般不能把一个元素分成更小的部分。
在最近一项关于人才发展和员工流动的研究中,我们发现五分之一的员工不知道他们的雇主是否知道他们的技能是什么。
技能在工作场所具有同样的功能。
它们是每个职位的最小组成部分,不同的混合物和熟练程度可以创造新的角色和水平。技能也构成了各种各样的人力资源活动的基础。
雇用:我们是否选择了组织发展所需的正确技能?
发展:我们是否在培养员工所需的正确技能以保持竞争力?
流动性:我们是否使用技能作为职业发展和晋升的共同语言?
绩效:劳动力的技能是绩效过程的重点吗?
多样性和包容性:我们是否利用技能来推动整个企业的包容性文化和实践?
技能甚至可以成为更大的参与画面的一部分。在最近一项关于人才发展和员工流动的研究中,我们发现每5个员工中就有1个不知道他们的雇主是否知道他们的技能是什么。如果这些员工认为他们的公司和领导甚至不知道他们的能力,我们怎么能指望他们参与进来?
这只是一个简短的版本,企业内部对技能的应用清单要长得多。简单地说,技能是现代组织的货币,公司有机会为每一个涉及技能数据的实践增加价值和客观性。
如果使用得当,技能数据是一个强大、客观的信息层。然而,我们的研究表明,雇主衡量技能的第一种方式是通过经理的观察。虽然观察本身并不是坏事,但重要的是,观察并不是评估技能和熟练程度的唯一方法。
根据有关认知偏见的数据,人类有近200种偏见,影响我们的日常决策。你难道不认为,如果这些偏见影响我们在杂货店买什么样的洗衣粉,那么它们也会影响我们在工作中如何识别、衡量和评估我们周围人的技能吗?挑选清单上的几乎任何偏见,很容易看出它是如何影响技能鉴定的。
在我们的研究中,我们看到了两个关键的杠杆,以创造更准确和可操作的技能数据。
矢量。矢量分析只是意味着使用多种元素来获得更接近真相的结果。当一个飞行员驾驶飞机时,空中交通管制员可以随着时间的推移提供不同的方向,逐步引导飞行员接近目的地。在技能方面,我们可以使用自我识别的技能,评估,甚至经理的观察或360度反馈来帮助个人的实际技能。
技术。说到偏见,我们高估了我们能记住的东西,而低估了我们对一个主题不了解的信息量。从实际意义上讲,如果让你列出你最亲密的三个朋友的前三项技能,你也许能做到。但如果让你列出你最亲近的10个朋友的前七项技能呢?你走得越远,难度就越大。好消息是,技术没有这个限制,可以在规模上创建准确的技能图片。
一旦你有了劳动力的实际技能数据,它就开启了一些有价值的商业应用。根据你过去对这一概念的思考程度,你可能对它如何运作或可能存在的障碍有一些疑问。
虽然观察本身并不坏,但观察并不是评估技能和熟练程度的唯一方法,这一点很重要。
关于基于技能的策略的 4 个常见问题和问题
1) 我们如何就技能定义或通用语言达成一致?虽然许多组织在内部创建了自己的技能和能力库(在我们的最新数据中,大约为 40%),但其他组织使用现有的技能数据源、技术合作伙伴或方法组合来就一组技能达成一致。总的来说,我们已经看到公司通过开始和迭代而不是等待一切完美而取得成功。
2) 我们应该允许员工自我识别技能吗?绝对!让人们在他们的员工档案中分享他们自己的技能就像众包针对某个问题的建议一样。每个人都可以做出贡献,这使人力资源和人才团队免于尝试手动执行此操作。即使自我认同只是一个起点,它仍然可以帮助填充技能数据作为起点。
3)我们如何获得足够的技能数据?从自我识别开始,有几种方法可以驱动额外的技能数据量。例如,您可以让人们发挥有抱负的技能,而不仅仅是现有的优势。您还可以鼓励他们分享他们的偏好,例如对搬迁的开放态度或对领导角色的兴趣。最重要的是,一旦人们看到数据被引用或用于人才决策,他们就会想要分享更多信息。我最近与一家企业航空航天公司的一位高管进行了交谈,他解释说,他在员工档案中更新了自己的技能,因为在过去 18 个月中,这导致了晋升和内部流动讨论。
在我们最新的2021 年技能再培训、流动性和人才发展研究中,91% 的员工告诉我们,他们对基于技能的职业发展工具感兴趣。帮助他们了解信息的使用方式可以带来更好、更一致的参与。
4) 对于拥有技能数据的公司,他们如何使用它?我们将在本系列的后面更详细地介绍这个元素,但一位公司领导告诉我们,他们正在使用技能“让员工参与到他们的职业生涯中——技能是学习、内部工作、导师、演出机会、发展、等等。” 这些信息支持大量人才决策,不仅有利于员工,也有利于公司。
作者:本·尤班克斯
扫一扫 加微信
hrtechchina
