知乎
移动安全开发工程师
移动安全开发工程师
发布于 2 天前普通员工/个人贡献者
北京市
高级经验
全职员工
仅现场办公
学历未注明
逆向工程
加密
移动安全
SDK开发
Ast
Frida
Ida
反调试
反Hook
爬虫对抗
AI 估算 · 30k–60k
北京大厂安全高级岗,技能稀缺,薪资竞争力强,参考市场行情
职位详情
关于这个职位
这是一份移动安全开发工程师职位,主要负责客户端安全SDK的研发,包括请求签名、代码加固、反调试/反Hook等
同时需要分析爬虫和异常流量特征,参与反爬治理体系建设
适合有5年以上开发经验、熟悉多种终端技术栈、精通AST混淆和加密算法的高级安全工程师
最低要求
年及以上软件开发经验、2 年及以上反爬 / 客户端安全 / 风控对抗相关经验
熟悉至少两种以上终端技术栈,具备扎实工程能力:Java、JavaScript、Python 为优先
了解 Go、C/C++ 等更佳
有客户端(Native / H5 / 小程序)或安全中间件实际交付经验
熟练掌握 AST 构建、遍历与变换,对常见混淆与保护有深入理解,具备实战经验:控制流平坦化、VMP 虚拟机保护 等
熟练掌握常见 对称/非对称加密、哈希、HMAC、编码(Base64/Hex 等) 及实现原理,能独立完成签名、加解密、密钥与随机数相关方案设计与排障
熟悉各终端常见逆向、调试、Hook 工具的实现原理与对抗思路,了解 设备指纹、环境指纹、行为指纹 的采集、融合与稳定性设计
有安全 SDK 或 签名 / 加固 方案从 0 到 1 或持续演进经验,能处理多端差异、版本兼容、性能与稳定性问题
能跨端、跨团队推进方案落地,具备清晰的技术文档与沟通能力
工作职责
安全 SDK / 加固研发:参与或主导客户端安全 SDK 设计与实现,包括请求签名、完整性校验、反调试/反 Hook、代码与逻辑保护等
混淆与加固技术:基于 AST 等手段实现或评估代码保护方案(如控制流平坦化、VMP 等),平衡安全性、性能与可维护性
对抗分析与特征挖掘:分析爬虫样本、自动化工具与异常流量特征,沉淀规则与模型输入,支撑策略调优与效果评估
治理与落地推进:参与反爬治理体系建设(指标、灰度、回滚、复盘),推动防护能力在多端、多场景下稳定生效
优先资格
年及以上爬虫开发经验,熟悉爬虫架构、调度、代理与数据清洗
有 头部互联网平台 终端逆向、风控对抗或大规模反爬实战案例
熟悉 Frida、IDA、JEB、Charles/mitmproxy 等工具链及自动化分析
了解 机器学习 / 规则引擎 在风控中的应用
有开源安全、混淆、AST 工具贡献或技术分享经历
AI 洞察
优缺点分析
优点
- 技术深度高,能深入掌握移动安全、AST、加密等前沿技能,成为稀缺安全人才
- 知乎作为大流量平台,攻防场景丰富,能积累大规模对抗经验,提升实战能力
- 大厂稳定,薪资福利有竞争力,职业发展路径清晰,可向架构或管理方向成长
- 技术门槛高,需要持续学习新的逆向和加固技术,以应对不断演变的攻击手段
- 需要跨团队协作推动方案落地,沟通成本高,对项目管理和文档能力有一定要求
缺点 / 挑战
- 工作强度可能较大,尤其在对抗高峰期需要快速响应和迭代,对压力承受能力有要求
- 适合对安全攻防有浓厚兴趣、喜欢技术挑战、乐于深入钻研底层原理的资深开发工程师
角色解读
- 从移动安全工程师向安全架构师发展,深入钻研客户端安全、反爬对抗等细分领域
- 横向拓展至风控、数据安全或基础安全方向,具备全栈安全视野
- 成为安全团队技术负责人或安全经理,带领团队构建公司级安全防护体系
- 负责移动端安全SDK的设计与实现,包括请求签名、代码加固、反调试/反Hook等核心防护功能
- 基于AST技术实现或评估代码保护方案,如控制流平坦化、VMP虚拟机保护,平衡安全性与性能
- 分析爬虫样本和异常流量特征,提取规则和模型输入,支撑反爬策略的调优和效果评估
- 参与反爬治理体系建设,包括指标定义、灰度验证、回滚预案和复盘,推动多端防护稳定落地
- 精通Java、JavaScript、Python中至少两种,熟悉Go/C++更佳,具备扎实的工程能力
- 熟练掌握AST构建、遍历与变换,有控制流平坦化、VMP等混淆保护的实战经验
- 深入理解对称/非对称加密、哈希、HMAC等算法,能独立设计签名和加解密方案
- 熟悉Frida、IDA、JEB等逆向调试工具的原理与对抗,了解设备指纹和行为指纹的采集与融合
申请策略
- 在面试前了解知乎的业务模式(内容社区)和面临的爬虫威胁,准备针对性的安全方案思路
- 关注公司技术博客或安全团队公开分享,体现对知乎安全体系的了解
- 突出安全SDK从0到1或持续演进的经验,具体说明签名、加固等方案的设计与优化细节
- 展示AST和控制流平坦化等混淆技术的实战案例,强调安全性与性能的平衡
- 列举逆向分析或对抗爬虫的成功案例,体现特征挖掘和策略调优能力
- 系统学习Frida、IDA等逆向工具的高级用法,能进行自动化分析和Hook
- 补充机器学习基础知识,了解其在风控规则引擎中的应用场景
- 复习对称/非对称加密算法的数学原理和工程实现,准备常见问题的深度回答
面试指南
- 先阐述问题的核心原理(如签名方案基于HMAC+时间戳),再描述具体实现步骤(生成密钥、签名、验证),最后讨论优缺点和优化方向
- 对于对抗类问题,从检测(特征)、防御(加固)、响应(降级)三个层面构建回答,突出实战经验
- 平衡性问题要给出量化指标,如性能损耗控制在5%以内,并举A/B测试数据说明
- 请设计一个移动端请求签名方案,防止重放攻击和篡改
- 如何实现反调试和反Hook?请举例说明技术原理
- AST在代码保护中有哪些应用?你如何实现控制流平坦化?
- 如何识别和对抗爬虫?请列举关键特征和策略
- 在安全性和性能之间如何取舍?请分享一个实际案例
匹配度报告
75
综合匹配度
大厂安全高级岗位,前沿技术栈,高薪资高成长,但需现场办公且强度未知。
适合人群
最看重技术成长和薪资回报,对工作生活平衡要求不高的求职者。
最强匹配
成长发展匹配
最弱匹配
工作生活匹配
薪资福利85
成长发展90
工作生活55
使命价值70
薪资福利匹配
85较高
大厂平台提供有竞争力的薪资和稳定的福利,虽未明确列出,但上市企业通常保障完善。
薪资信号未披露(AI估算:30K-60K/月)
成长发展匹配
90较高
移动安全和反爬对抗处于技术前沿,掌握AST、VMP等高级技能,成长空间大。
技术前沿前沿/新兴技术
技术栈Java、JavaScript、Python、AST、控制流平坦化、VMP、Frida、IDA、加密
业务类型ambiguous
工作生活匹配
55较低
仅现场办公,未提及弹性工作或加班情况,推测遵循互联网企业常规节奏,生活平衡一般。
工作模式仅现场办公
办公地点未明确
加班情况未提及(无法判断)
使命价值匹配
70中等
网络安全是高速增长领域,保护平台数据具有正向社会价值,但岗位主要服务于商业利益。
行业发展高速增长赛道
社会影响中性/一般
创新程度积极采用新技术
Watch Jobs