AI security engineer

Ищем опытного security-инженера в сердце Яндекса — Поиск. Вы будете решать задачи, связанные с безопасностью наших крупных AI-продуктов: Поиск с Алисой, YandexGPT, Шедеврума и других. Если вы любите искать нетривиальные уязвимости в коде, общаться с командами, разбираться в новых AI-технологиях и рисках, связанных с ними, — приходите, мы вас ждем!

Какие задачи вас ждут:

• Обеспечение безопасности AI-продуктов
  Вам предстоит анализировать новые направления атак, связанных с AI, и защищать от них сервисы и пользователей. Выявлять уязвимости в исходном коде, API, мобильных и веб-приложениях, участвовать в архитектурных дизайн-ревью в части ИБ, самостоятельно проводить внутренние аудиты продуктов и сопровождать внешние. Внедрять и использовать DevSecOps-инструменты (SAST, DAST, SCA, etc.), автоматизировать задачи по безопасности.
• Консультирование команд по вопросам ИБ

  Вы будете консультировать другие команды Яндекса по вопросам безопасности, согласовывать критичные изменения в коде, инфраструктуре сервисов. Взаимодействовать с командой разработки для совместного разбора выявленных уязвимостей и дальнейшего их устранения — например, рассказывать, как правильно организовать хранение критичных данных, интегрировать новый сервис или устранить уязвимость.

• Участие в проектах отдела безопасности
  Вместе с коллегами вам предстоит участвовать в разработках и инициативах, которые улучшают безопасность всего Яндекса.

• Знакомы с основными рисками, связанными с SDLC AI/ML-сервисов
• Понимаете, как устроены современные языковые модели (transformer-based models)
• Проводили анализ защищенности веб-приложений
• Умеете искать баги в исходном коде, подтверждать уязвимости, демонстрировать POC
• Можете правильно определить корневую причину уязвимости, предложить защитные меры
• Разрабатывали на одном из языков программирования (Go, Python, С++ или других), можете читать код на нескольких языках
• Знаете основы Linux (биты, IPC, сокеты, файлы)

• Решали прикладные задачи с помощью ML/DL, имеете опыт с NLP и работали с LLM
• Хорошо разбираетесь в устройстве современных LLM, следите за новыми трендами
• Умеете общаться с командами разработки, выступали в роли консультанта по безопасности
• Занимались обеспечением безопасности Docker, Kubernetes или Linux
• Выстраивали безопасную разработку, внедряли SAST/DAST в цикл CI/CD
• Участвовали в Bug Bounty, разборе, запуске программы
• Имеете собственные CVE, наработки и достижения в области безопасности веб- и мобильных приложений. Допустимо смещение знаний в сторону offense с готовностью постигать defence