月之暗面
业务攻防技术专家
业务攻防技术专家
发布于 大约 16 小时前普通员工/个人贡献者
北京市 / 上海市
高级经验
全职员工
仅现场办公
学历未注明
信息技术与基础设施
渗透测试
SDLC
容器安全
Web安全
DLP
云原生安全
大模型安全
App安全
AI 估算 · 35k–60k
AI行业安全专家需求旺盛,5年以上经验且掌握大模型安全,薪资有竞争力,中位数约4.7万/月
职位详情
关于这个职位
作为业务攻防技术专家,你将负责Kimi业务线的安全风险识别、评估与治理,主导安全建设项目的规划与落地,并优化业务安全治理框架
你将深入参与研发安全生命周期(SDLC)流程建设,制定安全编码规范,设计通用安全解决方案,重点覆盖隐私安全保护、数据防泄漏及数据分类分级
同时,你需要进行上线前安全测试、渗透测试及APP安全测试,并负责安全事件的应急响应与根因分析,推动防御体系加固
这是一个需要深厚技术功底和跨团队协作能力的高级技术岗位
最低要求
年以上Web/APP/平台安全领域经验,具备互联网/AI行业安全建设实践
精通常见Web、APP及平台安全漏洞原理、利用方式及修复方案,具备扎实的渗透测试与安全审计能力
深入理解SDLC研发安全流程,具备安全左移实践经验,有业务安全建设背景者优先
具备大模型应用安全实战经验,熟悉LLM特有安全风险(提示注入、数据投毒、模型窃取等),能够运用AI工具提升风险发现与处置效率者优先
精通Python/Shell,可独立完成安全工具开发与自动化脚本编写
具备优秀的跨团队沟通协作能力及文档输出能力,能够推动技术方案在业务侧落地
工作职责
负责Kimi业务线安全风险识别、评估与治理,主导安全建设项目规划、推进及闭环落地,建立并持续优化业务安全治理框架
负责研发安全生命周期(SDLC)流程建设与优化,制定安全编码规范与评审机制,设计并落地通用安全解决方案,重点覆盖隐私安全保护、数据防泄漏(DLP)及数据分类分级
负责上线前安全测试(黑盒、白盒)、例行安全检查、渗透测试及APP安全测试,输出测试报告并推动漏洞修复闭环
负责安全事件的应急响应、根因分析与溯源取证,建立并完善应急响应预案,推动事后复盘与防御体系加固
对接开发、产品、运维团队,将安全能力嵌入产品研发全流程,推动安全左移
优先资格
参与过企业安全体系建设或安全合规项目(等保、ISO27001、SOC2等)
持有CISSP、CISP、OSCP等安全认证
具备大模型/生成式AI产品安全建设经验
熟悉云原生安全、容器安全(Docker/K8s)或供应链安全
有CVE编号提交经验或CTF竞赛获奖经历
AI 洞察
优缺点分析
优点
- AI行业安全岗位稀缺,技术栈前沿(大模型安全),个人成长空间大
- 公司处于B轮融资阶段,产品增长快,安全建设需求迫切,能主导项目落地
- 薪资水平在行业中上,且有机会参与构建下一代AI产品的安全体系
- 工作内容综合性强,覆盖SDL、渗透、应急响应、安全工具开发,技能积累全面
- 跨团队协作频繁,需推动开发、产品等团队接受安全方案,沟通成本高
- 安全事件应急响应可能涉及7x24小时,工作强度有时较大
- 适合有5年以上安全经验、对AI安全有浓厚兴趣、具备强自驱力和跨团队协作能力的技术专家
缺点 / 挑战
- 需同时掌握传统安全和AI安全两个领域,知识面要求广且深,学习压力大
角色解读
- 向安全架构师或安全负责人方向发展,主导企业整体安全体系建设
- 深耕AI安全细分领域,成为大模型安全方向的专家,推动行业安全标准
- 横向拓展至云原生安全、供应链安全等新兴领域,提升综合安全能力
- 负责Kimi业务线的安全风险识别、评估与治理,主导安全建设项目从规划到落地的全流程
- 建设和优化研发安全生命周期(SDLC)流程,制定安全编码规范,设计数据防泄漏、隐私保护等安全方案
- 执行上线前安全测试(黑盒、白盒)、渗透测试和APP安全测试,输出报告并推动漏洞修复
- 参与安全事件应急响应、根因分析,完善应急响应预案,并推动防御体系持续加固
- 精通Web、APP及平台安全漏洞原理与渗透测试技术,具备安全审计能力
- 深入理解SDLC流程和安全左移实践,熟悉隐私保护、DLP及数据分类分级
- 掌握大模型应用安全风险(提示注入、数据投毒等),并能用AI工具提升安全效率
- 熟练使用Python/Shell进行安全工具开发与自动化脚本编写
申请策略
- 申请时强调对月之暗面公司产品的了解,展示对Kimi业务安全痛点的思考
- 在面试中主动提出对AI安全行业趋势的理解,体现前瞻性
- 突出Web/APP渗透测试项目经验,包括发现的漏洞类型、影响范围及修复方案
- 强调SDLC流程建设或安全左移的实践案例,如制定安全编码规范、推动安全测试前置
- 展示大模型安全相关经验,如提示注入攻击复现、数据投毒防御方案等
- 列出安全工具开发成果(Python/Shell),如自动化扫描脚本、应急响应工具等
- 系统学习OWASP Top 10 for LLM,掌握大模型安全攻击与防御技术
- 熟悉云原生安全工具(如Docker安全、K8s安全),补充容器安全知识
面试指南
- 对于流程类问题:采用STAR法则(情境、任务、行动、结果),突出个人角色和量化成果
- 对于技术类问题:先阐明漏洞原理,再提出多层级防御策略(输入过滤、模型训练、监控响应)
- 对于协作类问题:强调沟通技巧和双赢思维,例如通过风险评估让开发团队理解安全收益
- 请描述一次你主导的SDLC流程优化项目,具体做了哪些安全左移措施?
- 针对大模型(如Kimi)的提示注入攻击,你会如何设计防御方案?
- 在一次渗透测试中你发现的最复杂的漏洞是什么?如何修复的?
- 你如何评估和分类数据?请举例DLP实施中的关键点
- 当开发团队拒绝安全整改时,你如何推动落地?
匹配度报告
70
综合匹配度
AI安全专家岗,技术前沿、成长性好,薪资竞争力强,但需现场办公且可能加班。
适合人群
最适合追求技术成长和前沿领域探索的求职者,尤其关注AI安全方向,对WLB要求不高。
最强匹配
成长发展匹配
最弱匹配
工作生活匹配
薪资福利75
成长发展90
工作生活45
使命价值70
薪资福利匹配
75中等
薪资水平在行业中上,但B轮公司稳定性略低于大厂,福利未明确提及,整体补偿性较好。
薪资信号未披露(AI估算:35K-60K/月)
成长发展匹配
90较高
职位涉及前沿AI安全技术,主导建设安全体系,成长空间大,发展性动机满足度高。
技术前沿前沿/新兴技术
技术栈Web安全、APP安全、大模型安全、SDLC、DLP、Python、Shell、云原生安全、容器安全
成长机会安全左移、优化业务安全治理框架、推动安全左移
业务类型profit_center
工作生活匹配
45较低
明确要求现场办公,未提及弹性工作或WLB,安全应急响应可能带来加班,生活化动机满足度较低。
工作模式仅现场办公
办公地点市区核心地段
加班情况未提及(无法判断)
使命价值匹配
70中等
AI安全在高速增长赛道,保护用户数据和隐私具有积极社会影响,但职位主要偏技术实现,使命感中等。
行业发展高速增长赛道
社会影响正向社会影响力较高
使命信号隐私安全保护、数据防泄漏
创新程度积极采用新技术
Watch Jobs