проспект Андропова 10
Мы ищем специалиста по кибербезопасности, который поможет безопасно внедрять и сопровождать такие решения.
Роль находится на стыке Application Security, DevSecOps, Cloud/Kubernetes Security и безопасности GenAI/LLM/AI-агентов.
Что предстоит делать:
- Проводить security review AI/LLM-решений: LLM-приложений, AI-агентов, RAG, векторных БД, интеграций с внешними API и облачными LLM;
- Участвовать в threat modeling AI-решений: prompt injection, jailbreak, утечки данных, небезопасные tool calls, избыточные привилегии AI-агента, RAG/data poisoning;
- Проверять наличие и корректность защитных механизмов: guardrails, фильтры персональных данных, ограничения длины prompt/response, rate limiting, валидация ответов, контроль вызовов tools;
- Оценивать безопасность работы с данными: персональные данные, конфиденциальная информация, источники данных для RAG, embeddings, индексы векторных БД;
- Проверять, что AI-агенты работают по принципу минимально необходимых привилегий и не выполняют чувствительные операции без ручного подтверждения;
- Проверять изоляцию пользовательских сессий, контекстов и памяти AI-решений;
- Участвовать в проверке безопасности локального запуска LLM в Kubernetes: контейнеры, RBAC, secrets, network policies, ingress, resource limits;
- Формировать требования к логированию, аудиту и трассировке AI-решений: trace ID, логи prompt/response, вызовы модели, вызовы tools, действия AI-агента;
- Разрабатывать тестовые сценарии для проверки AI-решений на prompt injection, утечки данных, обход ограничений и небезопасное поведение агента;
- Помогать командам разработки и эксплуатации безопасно использовать локальные и облачные LLM.
Требования:
- Опыт в кибербезопасности от 2–3 лет в одной или нескольких областях: Application Security, DevSecOps, Cloud Security, Kubernetes Security, API Security, Product Security;
-
Понимание принципов security review, threat modeling и безопасной разработки;
-
Понимание web/API-безопасности: аутентификация, авторизация, OAuth2/OIDC, SAML, JWT, RBAC, service-to-service-взаимодействие;
-
Базовое понимание AI/LLM-стека: LLM, prompt, system prompt, context window, embeddings, RAG, vector database, AI-agent, agent memory, tools/function calling;
-
Понимание основных рисков LLM-приложений: prompt injection, indirect prompt injection, jailbreak, утечка чувствительных данных, раскрытие system prompt, небезопасная обработка ответа модели, excessive agency;
-
Понимание особенностей безопасности RAG и векторных БД: например, Milvus, Qdrant, Weaviate, pgvector, Chroma, Elasticsearch/OpenSearch vector search;
-
Понимание рисков работы с персональными и конфиденциальными данными при использовании локальных и облачных LLM;
-
Базовое понимание Kubernetes и контейнерной безопасности: secrets, service account, RBAC, network policy, resource limits;
-
Умение формулировать понятные и проверяемые требования безопасности для продуктовых команд.
Что мы ищем в кандидатах:
-
Опыт security review AI/LLM, RAG, чат-ботов, AI-ассистентов или агентских решений;
-
Знакомство с OWASP Top 10 for LLM Applications, OWASP Agentic AI Threats, MITRE ATLAS, NIST AI RMF;
-
Понимание безопасности agent tools/function calling: allowlist tools, схемы входных параметров, контроль прав, human-in-the-loop;
-
Опыт работы с SIEM/security logging: проектирование событий безопасности, аудит действий, расследование инцидентов;
-
Понимание подходов к безопасному исполнению кода, сгенерированного моделью: sandbox, изоляция контейнеров, запрет доступа к secrets, ограничения сети и ресурсов;
-
Базовые навыки Python, работы с JSON/YAML, API-тестирования или автоматизации security checks.
Будет плюсом:
-
Опыт с OpenAI/Azure OpenAI, AWS Bedrock, Google Vertex AI, Anthropic или другими LLM-провайдерами;
-
Опыт с локальными open-source LLM и inference-сервисами;
-
Опыт настройки или проверки guardrails, фильтров персональных данных, DLP-подходов, content moderation;
-
Опыт участия в AI red teaming или разработке тестов на prompt injection и data leakage.
Что тебе может дать СберЗдоровье:
- Формат: Гибридный (от 2-х дней в неделю, м. Технопарк).
- Забота о здоровье: Бесплатный доступ к телемедицине и очным приемам в частных клиниках (включая стоматологию и сессии с психологами);
- Льготы: Условия ипотечного кредитования от Сбербанка.
- Развитие: Индивидуальный план развития каждому, он поможет тебе всегда видеть вектор своего пути;
- Обучение: Английский язык с корпоративным преподавателем и скидки на курсы в Skyeng, компенсация обучения от ведущих платформ на рынке;
- Стабильность и комфорт: Официальное оформление, стабильные выплаты, оплата больничного и отпуска, современная техника;
- Спорт: Частичная компенсация спортивного абонемента, бесплатные занятия сквошем и футболом.