HR AI治理 - HRTechChina.com - 向上的力量！

HR AI治理

【警惕】AI招聘的隐形风险：从 Mercor 数据泄露到 HR“自建系统”失控边界 HRTech概述：在AI快速进入招聘与人力资源管理核心流程的当下，一个被行业系统性忽视的问题正在逐渐显现：HR不仅在使用AI工具，也在无意中成为企业数据风险与合规风险的直接承担者。近期AI招聘公司 Mercor 遭遇网络攻击的事件，与 Ben Eubanks 对“vibe coding”现象的警示，实际上共同指向同一个更深层的趋势——AI正在打破HR系统原有的边界，而组织尚未建立与之匹配的治理能力。 Mercor事件：AI招聘架构的系统性脆弱性从表面看，Mercor事件是一次典型的数据安全事故，其攻击路径被认为与开源项目 LiteLLM 的漏洞相关。但如果从架构层面分析，这并非孤立事件，而是AI招聘系统普遍面临的结构性问题。首先，AI招聘平台天然依赖大量外部组件，包括模型接口、中间层工具和API调用，这使得系统不再是传统意义上的“封闭HR系统”，而是一个高度开放的技术网络。一旦某个环节（例如开源组件）出现漏洞，风险就会沿着调用链迅速扩散，形成供应链级别的安全事件。其次，AI招聘系统的数据集中度显著提高。相比传统ATS仅存储简历信息，AI平台往往整合视频面试数据、评估标签、行为分析结果等更高价值的数据资产。这类数据不仅敏感程度更高，而且结构更复杂，一旦泄露，其影响远超传统数据泄露事件。第三，AI系统本身扩大了攻击面。每一个模型调用、每一次数据传输、每一个API接口，都是潜在的攻击入口。这意味着，AI并不是简单叠加在HR系统之上，而是从根本上改变了系统的风险结构。 HR自建AI工具：效率背后的合规与安全盲区与Mercor事件几乎同步发生的，是HR领域快速兴起的“自建工具”趋势。在 ChatGPT、Claude 等生成式AI工具的推动下，越来越多HR开始尝试通过简单脚本或自动化流程优化工作。例如，将候选人简历从ATS导出，上传至AI模型进行评分，再将结果回写系统。这类流程在操作层面看似高效，但在法律与合规层面却存在明显风险。最直接的问题是数据传输与第三方使用。当候选人数据被上传至外部AI平台时，数据是否获得授权、是否跨境传输、是否被用于模型训练，往往并不透明。在GDPR以及美国部分州的数据保护法规框架下，这种未经明确授权的数据使用，很可能已经构成违规。其次，AI参与招聘决策还涉及自动化决策与潜在歧视问题。如果AI模型参与候选人筛选或排序，企业需要具备解释其决策逻辑的能力，而“vibe coding”生成的工具通常缺乏可审计性，这在法律争议中将成为重大风险点。更关键的是，很多HR忽略了一个根本差异：原型工具与企业级系统之间存在本质鸿沟。一个可以快速运行的脚本，并不等同于一个可以长期稳定、安全、合规运行的生产系统。企业级系统必须具备安全性、稳定性、权限控制、审计能力等一整套机制，而这些恰恰是“自建工具”最容易缺失的部分。从工具使用者到风险承担者：HR角色的结构性变化这两类现象叠加后，实际上揭示了HR职能的一个重要转变。过去，HR主要是流程与人员管理的执行者，而在AI时代，HR开始不可避免地承担数据治理与AI使用风险的责任。招聘流程中每一次数据调用、每一次工具接入、每一次自动化决策，都在扩展HR的责任边界。问题在于，大多数HR团队并未为这种转变做好准备。缺乏对数据流的理解、不熟悉API调用逻辑、不了解第三方工具的合规边界，使得HR在拥有更多技术能力的同时，也暴露在更高的风险之中。这种“能力未匹配责任”的状态，使AI在HR场景中的应用呈现出一种典型的失衡：工具能力迅速提升，但治理能力严重滞后。行业拐点：效率导向正在让位于治理能力当前HRTech行业普遍强调AI带来的效率提升，但Mercor事件以及围绕“自建工具”的争议，正在推动行业进入一个新的阶段。未来的竞争不再仅仅取决于谁用AI更多，而在于谁能够建立清晰的数据边界与治理体系。企业需要回答的不只是“能否用AI提升效率”，而是“在什么范围内使用AI是安全且合规的”。这意味着，HRTech产品与HR团队本身，都需要从“工具导向”转向“治理导向”。包括建立数据使用规范、明确AI参与决策的边界、区分个人效率工具与企业生产系统，以及引入必要的审计与安全机制。这些能力将成为下一阶段HR数字化转型的核心竞争力。从风险暴露到能力建设：RAIHR正在成为行业共识如果说 Mercor 事件揭示的是“风险已经发生”，那么当前HR领域更需要面对的问题是：我们是否具备管理这些风险的能力。早在2024年，HRTechChina 就已经开始持续呼吁行业正视这一变化，并正式发起了“RAIHR（Responsible AI in HR）”倡议，尝试为HR在AI时代建立一套清晰的能力框架与实践边界。该倡议的核心，并不是讨论“是否使用AI”，而是回答一个更关键的问题：在使用AI的过程中，HR应该承担什么责任，以及如何建立可控、可审计、可合规的使用机制。从实践角度看，RAIHR关注的并不是工具本身，而是三个更底层的问题：数据如何使用、决策如何产生、系统如何被管理。这恰好对应当前HR在AI应用中最容易忽视、但风险最高的三个领域。换句话说，RAIHR试图解决的，是从“工具使用能力”到“风险治理能力”的跃迁。结合当前行业的发展阶段，可以看到一个越来越清晰的分水岭正在形成：一部分HR仍停留在“如何更高效使用AI工具”，而另一部分HR，已经开始思考“如何在不产生风险的前提下使用AI”。前者决定效率，后者决定边界与长期价值。在这一背景下，RAIHR不再只是一个概念，而更像是一种必要的行业基础设施。随着监管趋严、企业数据风险不断上升，以及AI在招聘与管理中的深度嵌入，是否具备RAIHR能力，将逐渐成为HR专业度的重要标志之一。对于企业而言，这意味着需要建立明确的AI使用规范与审计机制；对于HR个人而言，这意味着必须理解数据流、决策逻辑与系统边界；对于HRTech行业而言，这意味着产品与服务必须从“功能导向”走向“合规与治理导向”。 AI不会放慢进入HR的速度，但风险正在同步放大。真正的问题，不是是否使用AI，而是是否在有边界的情况下使用AI。在这个阶段，再次呼吁行业正视这一变化：从今天开始，把“Responsible AI in HR”作为一个必须建立的基础能力，而不是一个可以延后讨论的话题。

HR AI治理
2026年04月09日