Application Security / AppSec

Мы - международная группа компаний, работающая на стыке fintech, blockchain и iGaming. Разрабатываем собственные технологические продукты и решения для глобальных рынков, включая платежную инфраструктуру, аналитические системы и игровые платформы.

Компания активно инвестирует в перспективные проекты в сфере цифровых финансов и крипто-технологий, а также создает и масштабирует продукты для индустрии iGaming, предоставляя их международным клиентам.

У нас сильная техническая команда и продуктовый подход, строим собственные решения с нуля. Более 10 лет на рынке, работаем глобально и продолжаем активно расти.​​​​​​​

Чем предстоит заниматься:

• Разрабатывать и внедрять механизмы изоляции и контроля для агентных систем (песочницы для tool execution, строгая изоляцию контуров, лимиты на действия и реализация kill switch для экстренного отключения агентов);

• Настраивать детальный аудит логов действий агентов в продакшене;

• Разрабатывать и настраивать систему мониторинга аномального поведения и алертинга на подозрительные паттерны;

• Проводить моделирование угроз, выполнять threat modeling для новых агентских сценариев на этапе проектирования;

• Защищать от атак на LLM: Разрабатывать архитектурные решения и фильтры для защиты от prompt injection, data exfiltration, jailbreak. Внедрять строгую валидацию выходных данных (output validation) агентов;

• Организовывать и проводить атаки на собственные агентные системы для выявления уязвимостей до того, как ими воспользуются злоумышленники;

• Проводить аудит безопасности агентных пайплайнов от команды LLM-инженеров до выкатки в продакшен;

• Контролировать исходящие данные: Обеспечивать контроль за тем, какая информация уходит во внешние LLM-провайдеры, и соблюдение политик по использованию данных. Обеспечить инвентаризацию и контроль всех потоков данных;

• Настраивать IAM и управление секретами: Проектировать и внедрять ролевую модель доступа для самих агентов. Определять: какой агент, в какой контур имеет доступ и права на выполнение действий. Настраивать безопасное хранение и ротацию секретов;

• Использование сканеров исходного кода: Опыт подбора, пилотирования, установки, администрирования и внедрения в CI/CD конвейер сканеров исходного кода (SAST/DAST). Расшифровка результатов сканирования для разработчиков, помощь в устранении уязвимостей кода;

Мы ожидаем от кандидата:

• Опыт: 3-5 лет в DevSecOps, AppSec или Security Engineering;

• Уверенное владение Python, глубокий опыт работы с Docker, Linux, понимание принципов работы CI/CD;

• Опыт практического моделирования угроз (threat modeling), а не только теоретические знания;

• Опыт работы с системами управления секретами (HashiCorp Vault или аналоги), внедрение IAM-моделей, настройка песочниц (sandboxing) и изолированных окружений;

• Понимание, как работают LLM и агентные системы. Опыт работы с фреймворками вроде LangChain, LangGraph, MCP, вы понимаете принципы работы Claude Code;

• Готовность не только ревьюить чужой код, но и самостоятельно проектировать и собирать безопасных агентов.

Будет плюсом:

• Знание специфики безопасности ИИ: OWASP LLM Top 10, опыт проведения AI Red Teaming, практические навыки защиты от prompt injection;
• Опыт работы с API ведущих LLM-провайдеров (Anthropic, OpenAI) или с открытыми моделями;
• Понимание антифрод-логики и того, как агенты могут ее ломать (создавать новые векторы атак), так и усиливать (создавать новые правила защиты).

Гарантируем будущему коллеге:

• Конкурентную заработную плату;

• Трудоустройство по ТК с первого дня;

• Постоянную индексацию заработной платы;

• Корпоративную технику, современное зарубежное ПО;

• Потрясающий офис в Москва-Сити;

• Среду, свободную от бюрократии;

• Офисный формат работы 5/2 с 09:00 до 18:00 или с 10:00 до 19:00

• Работу в амбициозной команде и стремительное профессиональное развитие.