Описание работы
1. Создание системы проверки безопасности на основе ИИ
- Самостоятельное построение гибридного конвейера проверки безопасности с использованием больших языковых моделей (LLM), статического тестирования безопасности приложений (SAST) и динамического тестирования безопасности приложений (DAST) для повышения эффективности регулярного аудита кода в 3 раза и более.
- Обучение/дообучение специализированных моделей обнаружения угроз для Web3 для автоматического точного оповещения о высокорисковых областях, таких как интерфейсы взаимодействия смарт-контрактов, логика авторизации кошельков и анализ кросс-чейн сообщений.
- Постоянная оптимизация инженерии подсказок и библиотек правил для ИИ-проверки, чтобы снизить уровень ложных срабатываний до менее 5%, гарантируя, что результаты аудита могут служить критериями для принятия решений о выпуске.
2. Полноценный аудит безопасности Web3-приложений
- Самостоятельное проведение проверок безопасности для фронтенда (React/Vue), бэкенда (Java/Go), API-шлюзов и модулей взаимодействия с блокчейном, с акцентом на специфичные для Web3 уязвимости, такие как атаки повторного воспроизведения, подделка подписей, повышение привилегий и утечки конфиденциальных данных.
- Проведение оценки безопасности цепочки поставок для сторонних SDK, открытых компонентов и сервисов RPC-узлов, создание механизма мониторинга рисков зависимостей в реальном времени с помощью ИИ.
- Участие в ранних проверках безопасности на этапах проектирования новых продуктов, создание практических спецификаций безопасности для предотвращения архитектурных рисков на этапе разработки.
3. Устранение уязвимостей и реагирование на инциденты
- Ручная проверка и углубленный анализ высокорисковых сигналов, выявленных ИИ, подготовка комплексных отчетов с шагами воспроизведения, планами исправления и тест-кейсами для верификации.
- Управление полным жизненным циклом уязвимостей, обеспечение исправлений разработчиками в рамках SLA и автоматическая проверка эффективности исправлений с помощью регрессионного тестирования на основе ИИ.
- Участие в учениях по реагированию на инциденты, использование ИИ для быстрого анализа путей атаки и разработки планов минимизации ущерба, сокращение среднего времени реагирования (MTTR).
4. Управление знаниями и обучение безопасности
- Преобразование типовых уязвимостей и кейсов эффективности ИИ во внутреннюю базу знаний, регулярное проведение тренингов по безопасности для команд разработки.
- Отслеживание передовых тенденций в безопасности Web3 (например, MEV-атаки, риски абстракции аккаунтов, уязвимости в коде, сгенерированном ИИ) для постоянного расширения возможностей аудита.
Требования
- 8+ лет опыта в области безопасности приложений/тестирования на проникновение, включая не менее 4 лет практической работы с безопасностью Web3/блокчейн проектов.
- Продвинутый пользователь инструментов ИИ: способность самостоятельно писать скрипты на Python/JS для интеграции API LLM с инструментами безопасности, с подтвержденными кейсами использования ИИ для аудита кода, анализа логов или обнаружения уязвимостей.
- Экспертные знания OWASP Top 10, CWE/SANS Top 25 и специфичных для Web3 рисков (например, злоупотребление подписями EIP-712, векторы атак с помощью flash loan).
- Владение хотя бы одним инструментом SAST/DAST (Semgrep/SonarQube/Burp Suite/Acunetix) с возможностью настройки правил для расширения возможностей обнаружения.
- Сильные навыки самостоятельного мышления и решения проблем.
Условия
Полная ответственность за проверки безопасности бизнес-направления с прямым подчинением CEO.
