字节跳动
业务安全蓝军-漏洞挖掘
业务安全蓝军-漏洞挖掘
发布于 大约 2 小时前普通员工/个人贡献者
北京市
中级经验
全职员工
仅现场办公
本科
信息技术与基础设施
渗透测试
Web安全
安全自动化
漏洞挖掘
红蓝对抗
Llm安全
Agent安全
Ai攻防
Android/Ios安全
AI 估算 · 25k–45k
大厂安全岗位,技术门槛高,AI+安全复合型人才稀缺,薪资竞争力强,15薪保障
职位详情
关于这个职位
作为业务安全蓝军的一员,你将站在攻击者视角,对字节跳动的业务场景进行红蓝攻防演练和渗透测试,识别并报告安全漏洞
同时,你需要探索LLM、Agent等前沿AI技术在安全领域的应用,构建智能化漏洞发现能力,并分析黑灰产工具与攻击手法,帮助防御团队迭代策略
该职位要求扎实的安全攻防基础和对AI技术的深入理解
最低要求
本科及以上学历,计算机或相关专业,2年及以上安全红队或业务安全相关经验,了解常见业务风险与安全漏洞
对LLM for Security、Security for LLM、AI攻防或Agent安全有项目实践或深入使用经验
熟练掌握Web或APP(Android/iOS)漏洞挖掘技术与工具链
至少熟练掌握一门编程语言(如C/C++、Python、Java等),具备将重复性攻防工作自动化落地的能力
具备较强的学习与创新能力,有好奇心和自驱力,沟通协作良好
工作职责
以攻击者视角,围绕业务场景开展红蓝攻防演练和渗透测试,识别业务风险与安全漏洞
深度探索LLM/Agent等前沿AI技术在安全领域的落地应用,构建智能化的漏洞发现能力
分析常见的黑灰产工具、恶意软件等,复盘攻击手法和攻击路径,帮助红军迭代防御策略
参与业务安全蓝军体系化能力和工具平台建设,持续提升蓝军作业效率与对抗强度
优先资格
加分项
有业务风险漏洞挖掘或红队/实战攻防演练经验
在安全会议、众测/漏洞平台或开源社区有高质量产出
AI 洞察
优缺点分析
优点
- 字节跳动作为头部互联网公司,业务场景丰富,可以接触到海量用户数据与复杂系统,实战机会多
- 专注于AI+安全前沿领域,技术含金量高,个人成长快,行业认可度强
- 团队氛围技术导向,鼓励创新和分享,有完善的工具和平台支持
- 薪资福利优厚,股票期权等长期激励
- 对技术深度和广度要求高,需要同时掌握传统安全攻防和AI新技术,学习曲线陡峭
- 作为蓝军,需要与红军密切配合,沟通协作要求高,有时可能面临成果难以量化的问题
- 适合热爱安全攻防、技术自驱力强、乐于钻研前沿AI安全技术,并且能适应快节奏工作环境的资深安全工程师
缺点 / 挑战
- 工作强度较大,红蓝对抗需要持续学习和应对新威胁,压力不小
角色解读
- 在字节跳动蓝军团队中,可从安全工程师成长为红队专家或安全研究员,专注于前沿攻防技术
- 随着AI在安全领域的深入应用,可成为AI安全方向的专家,引领行业标准
- 优秀者有机会晋升为蓝军团队负责人或安全架构师,主导安全体系建设
- 模拟真实攻击者,对字节跳动的业务系统进行渗透测试和红蓝对抗演练,发现并报告安全漏洞
- 研究LLM、Agent等AI技术,开发自动化工具提升漏洞挖掘效率,并应用到实际安全场景中
- 分析黑灰产工具和恶意软件,逆向攻击手法,为防御团队提供改进建议
- 参与建设蓝军工具平台和能力体系,持续提升团队的攻防对抗水平
- 扎实的Web或移动端(Android/iOS)漏洞挖掘技术,熟悉主流漏洞类型和利用技巧
- 对LLM安全、AI攻防有深入理解或实践经验,能利用AI技术增强攻击能力
- 至少精通一门编程语言(Python/C/C++/Java),能够编写自动化攻击脚本和工具
- 较强的学习能力和好奇心,能快速跟进安全领域新技术和攻击手法
申请策略
- 字节跳动面试流程通常包括技术面、交叉面、HR面,准备时多准备项目细节和系统设计问题
- 关注字节跳动安全团队的技术博客和公开演讲,了解其安全文化和技术栈,面试中展示契合度
- 突出红蓝对抗或渗透测试的实战经验,特别是发现的严重漏洞或攻防演练成果
- 强调LLM/AI安全相关项目经历,例如利用AI自动化漏洞发现、AI模型的攻防对抗等
- 展示编程能力和自动化工具开发案例,比如自己编写的扫描器、利用工具等
- 如果有漏洞平台排名、安全会议演讲或开源贡献,务必重点提及
- 若对LLM安全不熟悉,可系统学习提示词注入、模型越狱、对抗样本等技术,并动手实践
- 深入掌握至少一门移动端(Android/iOS)逆向和漏洞挖掘技能,补齐短板
面试指南
- 对于漏洞挖掘类问题,采用STAR法则(情境、任务、行动、结果),清晰描述背景、目标、具体操作和最终成果
- 对于AI+安全结合类问题,先阐述理论基础,再结合实际项目经验,说明遇到的挑战和解决方案
- 对于设计类问题,结构化思考,从攻击面分析、工具选型、流程设计等角度全面展开
- 请描述一次你发现的最复杂的业务安全漏洞,包括发现过程、利用方式和修复建议
- 你如何利用AI技术(如LLM)来增强漏洞挖掘效率?请举例说明
- 对常见的Web漏洞(如SSRF、反序列化)的利用技巧和绕过方法是否有深入理解?
- 假设你需要在OAuth登录流程中挖掘漏洞,你会从哪些方面入手?
- 如何评估一个红蓝对抗演练的效果?你认为好的蓝军应该具备哪些特质?
匹配度报告
72
综合匹配度
大厂安全蓝军,AI+安全前沿技术,薪资高发展好,但WLB一般。
适合人群
该职位最适合发展动机强的求职者,追求技术前沿和快速成长,不介意较高的工作强度。
最强匹配
成长发展匹配
最弱匹配
工作生活匹配
薪资福利85
成长发展95
工作生活40
使命价值70
薪资福利匹配
85较高
字节跳动薪资在市场上处于头部水平,福利完善,对于2年经验的安全工程师来说,该职位薪资极具竞争力。
薪资信号市场水准 (25K-45K/月)
成长发展匹配
95较高
该职位专注于AI+安全前沿领域,技术栈新颖,团队鼓励创新,成长空间极大。
技术前沿前沿/新兴技术
技术栈LLM、Agent、AI攻防、渗透测试、漏洞挖掘、Python、C/C++、Java
成长机会深度探索LLM/Agent等前沿AI技术、参与业务安全蓝军体系化能力建设、持续提升蓝军作业效率
业务类型ambiguous
工作生活匹配
40较低
字节跳动工作节奏较快,蓝军岗位可能涉及应急响应,WLB相对一般,但未明确说明加班情况。
工作模式仅现场办公
办公地点市区核心地段
加班情况未提及(无法判断)
使命价值匹配
70中等
网络安全行业具有社会价值,但作为蓝军主要服务于公司内部,社会影响力相对有限。
行业发展高速增长赛道
社会影响中性/一般
创新程度积极采用新技术
Watch Jobs