Mô Tả Công Việc
1. Xây Dựng Hệ Thống Kiểm Tra Bảo Mật AI
- Độc lập xây dựng pipeline kiểm tra bảo mật lai kết hợp Mô Hình Ngôn Ngữ Lớn (LLM), Kiểm Tra Bảo Mật Ứng Dụng Tĩnh (SAST) và Kiểm Tra Bảo Mật Ứng Dụng Động (DAST) để nâng cao hiệu quả kiểm tra mã thường xuyên lên 3 lần hoặc hơn.
- Huấn luyện/tinh chỉnh các mô hình phát hiện bảo mật Web3 chuyên dụng để đạt được cảnh báo chính xác tự động cho các khu vực rủi ro cao như giao diện tương tác hợp đồng thông minh, logic ủy quyền ví và phân tích tin nhắn chuỗi chéo.
- Liên tục tối ưu hóa kỹ thuật nhắc nhở kiểm tra AI và thư viện quy tắc để giảm tỷ lệ dương tính giả xuống dưới 5%, đảm bảo kết quả kiểm tra có thể trực tiếp làm tiêu chí quyết định phát hành.
2. Kiểm Tra Bảo Mật Full-Stack Cho Ứng Dụng Web3
- Độc lập thực hiện kiểm tra bảo mật cho frontend (React/Vue), backend (Java/Go), cổng API và các mô-đun tương tác trên chuỗi, tập trung vào các lỗ hổng đặc thù Web3 như tấn công phát lại, giả mạo chữ ký, leo thang đặc quyền và rò rỉ dữ liệu nhạy cảm.
- Thực hiện đánh giá bảo mật chuỗi cung ứng cho SDK bên thứ ba, thành phần mã nguồn mở và dịch vụ nút RPC, thiết lập cơ chế giám sát rủi ro phụ thuộc thời gian thực hỗ trợ AI.
- Tham gia vào các đánh giá bảo mật shift-left trong giai đoạn yêu cầu và thiết kế sản phẩm mới, tạo ra các thông số kỹ thuật thiết kế bảo mật có thể hành động để ngăn chặn rủi ro cấp kiến trúc từ nguồn.
3. Đóng Lỗ Hổng & Ứng Phó Khẩn Cấp
- Thực hiện xác minh thủ công và phân tích sâu các manh mối rủi ro cao được AI đánh dấu, cung cấp báo cáo kiểm tra toàn diện bao gồm các bước tái tạo, kế hoạch khắc phục và trường hợp kiểm tra xác minh.
- Dẫn dắt quản lý vòng đời đầy đủ của các lỗ hổng bảo mật, đảm bảo các nhóm phát triển hoàn thành sửa chữa trong SLA và tự động xác nhận hiệu quả khắc phục thông qua kiểm tra hồi quy AI.
- Tham gia vào các bài diễn tập sự cố bảo mật, tận dụng AI để nhanh chóng tạo ra phân tích đường tấn công và kế hoạch kiểm soát thiệt hại để giảm MTTR (Thời Gian Phản Hồi Trung Bình).
4. Quản Lý & Nâng Cao Kiến Thức Bảo Mật
- Chuyển đổi các lỗ hổng điển hình phát hiện trong quá trình kiểm tra và các trường hợp hiệu quả AI thành cơ sở kiến thức nội bộ, thường xuyên tổ chức đào tạo bảo mật cho các nhóm phát triển.
- Theo dõi các xu hướng bảo mật Web3 tiên tiến (ví dụ: tấn công MEV, rủi ro trừu tượng tài khoản, lỗ hổng mã được tạo bởi AI) để liên tục mở rộng ranh giới năng lực kiểm tra.
Yêu Cầu Công Việc
- 8+ năm kinh nghiệm kiểm tra bảo mật ứng dụng/kiểm thử xâm nhập, bao gồm ít nhất 4 năm làm việc thực tế về bảo mật dự án Web3/blockchain.
- Người dùng công cụ AI nâng cao: Có khả năng viết độc lập các script Python/JS tích hợp API LLM với các công cụ bảo mật, với các trường hợp thành công đã được chứng minh về kiểm tra mã hỗ trợ AI, phân tích nhật ký hoặc phát hiện lỗ hổng.
- Chuyên môn về OWASP Top 10, CWE/SANS Top 25 và các rủi ro bảo mật đặc thù Web3 (ví dụ: lạm dụng chữ ký EIP-712, vectơ tấn công flash loan).
- Thành thạo ít nhất một công cụ SAST/DAST (Semgrep/SonarQube/Burp Suite/Acunetix) với khả năng tùy chỉnh quy tắc để mở rộng khả năng phát hiện.
- Kỹ năng tư duy độc lập và giải quyết vấn đề mạnh mẽ.
Phúc Lợi
Toàn quyền sở hữu kiểm tra bảo mật dòng kinh doanh với báo cáo trực tiếp cho CEO.
