Application Security Engineer / AppSec-инженер

Привет! Мы ищем Application Security Engineer в международный холдинг.

Задачи:

• Проектировать архитектуру безопасности, разрабатывать и внедрять механизмы изоляции и контроля для агентных систем: песочницы для tool execution, строгая изоляция контуров, лимиты на действия и реализацию kill switch для экстренного отключения агентов.
• Настраивать IAM и управление секретами: проектировать и внедрять ролевую модель доступа для самих агентов.
• Внедрять мониторинг и аудит: настраивать детальный аудит логов действий агентов в продакшене, разрабатывать системы мониторинга аномального поведения и алертинга.
• Проводить моделирование угроз: выполнять threat modeling для новых агентских сценариев на этапе проектирования.
• Разрабатывать архитектурные решения и фильтры для защиты от prompt injection, data exfiltration, jailbreak.
• Внедрять строгую output validation и контроль исходящих данных.
• Проводить Red Team проверки: организовывать и проводить атаки на собственные агентные системы для выявления уязвимостей до того, как ими воспользуются злоумышленники.
• Контролировать потоки данных и соблюдение политик использования данных при работе с внешними LLM-провайдерами.
• Подбирать, внедрять и сопровождать SAST/DAST-решения, интегрировать их в CI/CD и помогать разработчикам устранять уязвимости.

Требования:

• Опыт 3+ лет в DevSecOps, AppSec или Security Engineering.
• Технические навыки: уверенное владение Python, глубокий опыт работы с Docker, Linux, понимание принципов работы CI/CD.
• Опыт практического моделирования угроз (threat modeling), а не только теоретические знания.
• Опыт работы с системами управления секретами (HashiCorp Vault или аналоги), внедрение IAM-моделей, настройка песочниц (sandboxing) и изолированных окружений.
• Понимание как работают LLM и агентные системы, опыт с фреймворками LangChain, LangGraph, MCP, знание принципов работы Claude Code.
• Готовность не только ревьюить чужой код, но и самостоятельно проектировать и собирать безопасных агентов.

Будет плюсом:

• Знание специфики безопасности ИИ: OWASP LLM Top 10, опыт проведения AI Red Teaming, практические навыки защиты от prompt injection.
• Опыт работы с API ведущих LLM-провайдеров (Anthropic, OpenAI) или с открытыми моделями.
• Понимание антифрод-логики и того, как агенты могут ее ломать (создавать новые векторы атак), так и усиливать (создавать новые правила защиты).

Условия:

• Формат работы — офис 5/2 с 10 до 19, Москва-Сити.
• Корпоративная техника и современное зарубежное ПО.
• Оформление по ТК РФ, отпуск 28 календарных дней.
• Заработная плата 250–300k net.
• Ежегодная индексация и премирование по результатам работы.