安全治理工程师/应用安全工程师
职位概述 | Role Overview
该岗位是一个以动手为主的应用安全工程岗位,负责设计、构建并持续迭代 AI 辅助的 PRD 安全评审系统。需要候选人既能基于 PRD、产品流程和系统设计做出专业的安全风险判断(如:认证授权、业务逻辑、数据安全、API 暴露、滥用风险等),又能把这些判断工程化为可运行、可评估的 agent 工作流——包括知识库、checklist、prompt、规则,以及衡量评审质量的评估基准。核心目标是借助公司已有的 AI 基础设施,在风险识别、评审分流、整改跟踪和机制沉淀上实现规模化与一致性。
核心职责 | Key Responsibilities
1. AI 安全评审系统建设
-
基于公司 AI 基础设施,设计并实现人机协同的 PRD 安全评审 agent,支持 agent 初筛、风险解释、分级分流、人工校验与整改跟踪
-
将应用安全评审、威胁建模、业务逻辑安全、数据安全等经验沉淀为 agent 可用的知识库、checklist、prompt 和规则
-
建立评审质量的评估基准(ground truth):将历史评审结果整理为标注数据集,用漏报率、误报率等量化指标衡量 agent 输出,并据此持续迭代 prompt 与规则
2. 产品安全、PRD 评审与风险识别
-
基于 PRD、产品流程和系统设计识别认证授权、业务逻辑、数据安全、API 暴露、滥用风险等问题,并推动后续跟进
-
将安全风险转化为产品和研发可执行的安全要求、验收标准和整改闭环,提升整体产品安全水平
-
参与产品安全和 PRD 安全评审机制建设,推动安全要求在需求和设计阶段前置落地
3. 协同与沉淀
-
与产品、研发、安全团队协同,推动评审发现的风险整改闭环
-
沉淀评审方法、标准和常用材料,提升评审的一致性与可复用性
✅ 任职要求 | Requirements
基本要求(Must-Have)
-
5 年以上应用安全 / 产品安全工程经验
-
精通应用安全评审、威胁建模和 SDL/SDLC 安全机制,能基于 PRD、产品流程和系统设计识别认证授权、业务逻辑、数据安全、API 暴露、滥用等风险
-
有实际构建并落地 LLM / agent 系统的经验,能设计 agent 工作流、做 prompt 与规则工程,并能搭建评估基准、用量化指标衡量并迭代输出质量
-
具备良好的结构化思考、问题拆解和结果导向能力
-
具备良好的沟通表达和文档能力,中英文书面表达良好
加分项(Nice-to-Have)
-
有互联网、金融科技、区块链/Web3 行业经验
-
熟悉云安全、数据安全、基础设施安全或供应链安全等领域知识
-
熟悉 RAG、评估框架(eval harness)或面向安全场景的模型微调
-
具备相关安全认证
《候选人隐私声明》
最近更新日期:2025年【9】月【1】日
1. 介绍
本《全球候选人隐私声明》(简称“隐私声明”)旨在帮助您了解当您向我们提交职位申请时,我们在收集、处理、传输及使用个人数据方面的政策。
本隐私声明不适用于非候选人或非申请人的用户、访客或访问网站的客户。 此外,本隐私声明不适用于我们的现有或前员工或独立承包商,因为其受公司内部员工隐私政策的约束。
2. 一般信息
(a) 您的信息
我们将收集并处理与您相关的特定个人数据,具体包括:
-
个人资料数据:姓名、别名、个人联系方式(如地址、电话、电子邮件)、驾驶执照、移民身份;
-
资质资料:简历、公司简介中的信息、社交媒体资料及活动、照片、求职信、工作经历、资质与技能、推荐人信息,以及必要时进行的背景调查(可能包含犯罪记录详情);
-
就业数据:职位名称、办公地点、公司电子邮箱地址、薪酬、福利、专业经验、教育背景(含专业认证与资质)、起止日期、绩效记录、培训记录、员工编号;
-
紧急联系人数据(如适用);
-
与劳动或就业法律合规相关的信息;
-
系统数据:我们通过与您沟通获取的音频、电子或类似信息(例如电话录音、电子邮件);
-
您自愿提供的其他数据,包括您在反馈或调查中选择表明身份时提交的数据。
(b) 渠道
当您应聘职位时(包括面试环节,面试过程可能会被录音),我们会直接向您收集个人数据。
此外,我们还可能通过各种其他渠道收集您的个人信息,并将其与您主动提供的数据进行整合。例如,我们可能从以下渠道获取您的个人数据:
-
您用于向我们求职的招聘网站;
-
教育机构;
-
前雇主,当其向我们提供雇佣证明时;
-
经您授权、允许我们联系的专业推荐人;
-
法律允许范围内的第三方背景调查、信用调查或其他入职前筛查服务机构;
-
您公开的社交媒体资料或其他公开来源;
-
猎头公司或招聘机构;
-
公司通信及 IT 系统/应用程序,这些系统会自动收集用户相关信息及其传输内容;
-
公司其他员工;
-
公众、法院、公共机构及其他公开渠道。
(c) 目的
我们处理该等个人数据的目的如下:
-
评估、建立并履行雇佣合同;
-
保障我们场所、资产、系统及知识产权的安全,并执行公司政策;
-
履行法律义务,遵守审计、记录保存及报告要求,满足税务要求,确保健康与安全;
-
维护我们的正当商业利益及合法权益;
-
开展审计、调查及合规工作。
(d) 汇总数据
我们还会出于任何目的创建、处理和/或共享“汇总数据”,例如统计或人口统计数据。该汇总数据可能源自您的个人数据,但一旦形成汇总形式,即不再构成个人数据,因为无法通过该数据识别到您。但是,如果我们把汇总数据与您的个人数据相结合或关联,使其能够与您关联,则我们会将该等合并后的数据视为个人数据,并根据本隐私声明使用该等个人数据。
(e) 数据保留
实际保留期限会因个人数据类型及每种数据类型的用途而异。我们会根据是否存在合法保留目的来保留您的个人数据,包括适用法律规定的保留目的。
(f) 数据传输
我们在不同的司法管辖区处理并存储上述信息。个人数据可能会被传输至我们其他实体和第三方(包括服务提供商),其可能位于您所在司法管辖区以外。向中国大陆以外传输数据会在取得您明确同意后进行。
(g) 向第三方披露
个人数据可能会与以下各方共享:
-
我们的母公司、子公司及母公司控制下的其他关联方,用于运营共享的基础设施、系统和技术,或用于与本隐私声明一致的用途;
-
政府机构、执法人员、法院或其他相关方,用于上述“目的”部分所述目的;
-
为我们提供服务并代表我们处理个人数据的服务提供商。
(h) 信息安全
我们已采取适当的安全措施(包括技术和组织措施),以防止个人数据被意外丢失、未经授权使用或访问、被篡改或泄露。
(i) 自动化处理
我们使用自动化工具来协助我们处理和筛选求职申请。这些工具利用复杂的算法和机器学习技术,来支持以下操作:
-
最低要求:我们会根据您提供给我们的信息,使用自动化的工具来确定您是否符合职位的最低要求。这些工具会分析您在我们的招聘网站上提交的表格中的选择,以判断您是否具备相应的经验。在某些情况下,这些自动化工具可能会在没有招聘团队成员进一步审查的情况下直接拒绝您的申请。
-
利用人工智能对申请评分及匹配未来机会:在您同意的情况下,我们会使用基于机器学习(也称为人工智能或 AI)的工具,对您在申请及资格问题中的回答,以及简历中的专业信息进行处理。这些工具会:
-
根据您提供的信息与基本职业技能及优先资格的匹配程度,自动为您评分。我们招聘人员会根据此筛选分数进一步评估候选人;
-
将您对申请问题、资格问题中的回答,以及简历中的专业信息,与未来职位的基本资格和优先资格进行比对。当匹配成功时,我们的招聘人员可能会邀请您申请该职位。
-
-
您在申请提示中选择“是”,即表示您同意我们按此方式使用您的数据;选择“否”则表示您不同意我们以此方式使用您的数据。即使您选择不参与此处理,您的申请仍将被正常评估;是否参与完全出于自愿。若您选择退出 AI 匹配,我们招聘人员将在不借助 AI 评分的前提下审核您的申请。请注意,即使您不同意将您的数据用于 AI 匹配,我们招聘人员仍可能根据其自己的审核与您联系并告知您未来的职位空缺,但届时不会通过 AI 推荐您的资料,前提是您同意就未来的机会与您联系。
(j) 您的权利
如需索取我们持有的您的个人数据副本或行使下述任何权利,请联系我们的工作人员。
(i) 您可以要求访问我们持有的与您相关的个人数据,并核实我们是否在合法处理该数据。
(ii) 您可以要求更正我们持有的不完整或不准确的个人数据。
(iii) 如对于我们持有的您的个人数据已无继续处理的合理理由,您可以要求删除该等个人数据。
(iv) 在有限情形下,若您曾就特定目的同意我们收集、使用及传输个人数据,您有权随时撤回该同意。
(k) 对本隐私声明的更新
我们可随时更新本隐私声明,并将变更内容发布在本页面。如对本隐私声明作出任何更新,我们将同步更新上述“隐私声明日期”。所有更新仅适用于隐私声明中所述生效日期之后所收集的信息。
nextgen
coatesgroup
Shield AI
Defense Threat Reduction Agency