Especialista em segurança

A Stone está com uma oportunidade em seu time de Segurança em Desenvolvimento (AppSec) na área de Segurança da Informação para trabalhar com foco em projetos de Inteligência Artificial, em especial interfaces conversacionais Você gosta de buscar novos desafios e adquirir novos conhecimentos para acelerar o desenvolvimento de carreira? Se sim, venha fazer parte do nosso time de Segurança da Informação, como Analista de Segurança em Desenvolvimento Senior na Stone O time de AppSec tem como propósito garantir que os aplicativos sejam desenvolvidos, mantidos e utilizados de maneira segura e protegida contra ameaças cibernéticas. Buscamos evitar que nossos sistemas tenham vulnerabilidades que possam ser exploradas por criminosos cibernéticos, visando proteger dados sensíveis, a privacidade dos usuários e a integridade das aplicações. Como é ser Analista de Segurança em Desenvolvimento Senior? Dentre as atividades de trabalho esperadas, estão: Estratégia, Colaboração e Arquitetura Segura em IA: Ser o ponto focal de segurança, colaborando diretamente com times de engenharia em projetos de Inteligência Artificial. Participar e conduzir ativamente revisões de arquitetura para sistemas baseados em IA, desde a concepção até a fase de produção. Realizar threat modeling específico para identificar e mitigar vetores de ataque exclusivos de sistemas de IA. Desenvolver e manter um programa de segurança, abrangendo atividades defensivas e ofensivas, para aplicações de Inteligência Artificial Generativa (GenAI). Domínio de Riscos e Vulnerabilidades de Segurança em IA: Possuir profundo conhecimento em riscos de segurança e privacidade específicos de IA, incluindo (mas não limitado a) o OWASP Top 10 for LLMs : Prompt Injection e técnicas de jailbreak. Insecure Output Handling e riscos de execução de código. Data Poisoning em datasets de treino/fine-tuning. Model Denial of Service e ataques de exaustão de recursos. Vulnerabilidades na cadeia de suprimentos (Supply Chain) de modelos, dados e dependências. Vazamento de Informações Sensíveis (Sensitive Information Disclosure). Insecure Plugin Design e riscos associados a tool/function calling. Excessive Agency em sistemas e agentes autônomos. Ataques de Inversão de Modelo e Inferência de Membro (Model Inversion/Membership Inference Attacks). Roubo de Modelo (Model Theft). Segurança em Arquiteturas e Componentes Específicos de IA: Avaliação de Pipelines RAG (Retrieval Augmented Generation): Foco em segurança de Vector databases, embeddings, estratégias de chunking e manipulação/injeção de contexto. Revisão de Sistemas de Agentes Autônomos: Análise de limites de execução de tools/functions, segurança de memória/contexto persistente do agente e transparência de raciocínio (chain-of-thought). Protocolos e Integrações: Avaliar a segurança do Model Context Protocol (MCP) e integrações. Fluxos de Fine-tuning: Analisar workflows de fine-tuning e riscos de injeção de backdoors. Controles de Segurança: Validar a implementação de guardrails e sistemas de filtragem de conteúdo (content filtering). Governança, Compliance e Maturidade em IA: Aplicar frameworks de avaliação de maturidade em segurança de IA (ex: OWASP AI Maturity Assessment). Manter-se atualizado sobre regulamentações emergentes (ex: AI Act, Executive Orders) e suas implicações técnicas. Implementar controles de privacidade diferencial e minimização de dados. Estabelecer políticas de governança de modelos e versionamento seguro. Capacidades Técnicas e Operacionais: Ciclo de Vida de LLMs: Conhecimento aprofundado em pre-training, fine-tuning, RLHF, alignment, padrões de deployment (API-based, on-premise, edge) e implicações de segurança do prompt engineering. Monitoramento e Observabilidade: Implementar a detecção de model drift, bias drift, concept drift e métricas de segurança (ex: toxicity scores, jailbreak attempts, PII leakage). Realizar anomaly detection e auditoria de prompts e outputs. Infraestrutura de IA em Cloud: Experiência com serviços gerenciados de LLM (ex: AWS Bedrock, Azure OpenAI, GCP Vertex AI), segurança de containers para workloads de ML/AI, gerenciamento de segredos (secrets management) e isolamento de rede. Testes e Validação de Segurança: Conduzir security assessments de aplicações baseadas em LLM utilizando metodologias específicas. Realizar exercícios simulando ataques como prompt injection, jailbreak, cenários de exfiltração de dados e adversarial inputs. Validar controles de rate limiting, prevenção de abuso e gerenciamento de custos. Testar sandboxing e isolamento para execução de código. Outras Contribuições e Habilidades: Avaliar riscos e definir requisitos e padrões de segurança. Realizar revisões de código e design de arquitetura. Implementar testes de segurança automatizados e auxiliar na mitigação e correção de vulnerabilidades. Promover o treinamento e a sensibilização dos times de desenvolvimento. Integrar segurança de forma eficiente nos processos de desenvolvimento (shift-left). Manter-se atualizado com as tendências de segurança em IA. Utilizar a experiência e intuição de segurança para buscar ameaças nos ambientes corporativos e de produção. Ter iniciativa para buscar ou solicitar dados importantes que estejam ausentes. Desenvolver soluções criativas e complexas que equilibrem riscos e necessidades de negócio. Capacidade plena de leitura e comunicação eficiente em inglês. O que esperamos de você: Ter capacidade de identificar oportunidades de melhorias, novas soluções e alertas que possam beneficiar e/ou facilitar a operação Usar habilidades de influência e negociação para direcionar os times a corrigirem problemas ou a utilizar arquiteturas adequadas do ponto de vista de segurança Capacidade de trabalhar com autonomia Interesse e dedicação em aprender e se adaptar a cenários que utilizam novas tecnologias com as quais ainda não teve contato e que entreguem mais segurança aos produtos Comunicar-se de forma concisa, franca e assertiva, sabendo traduzir problemas complexos para uma linguagem acessível ao público com o qual se comunica Possuir curso Superior (concluído ou em andamento) em Segurança da Informação, Ciência da Computação, Sistemas de Informação, Engenharia de Software, Inteligência Artificial ou cursos relacionados Paixão por aprender e prosperar em um ambiente dinâmico e em constante mudança Conhecimento de vetores de ataque comuns Conhecimento dos serviços básicos e conceitos de segurança de Cloud (AWS, Azure ou GCP) Experiência com monitoramento de segurança, análise de logs e ferramentas forenses Facilidade de trabalhar dentro de times multi-disciplinares com metodologia ágil O que aumenta suas chances: Desenvolvimento de software: conhecimentos que permitam criar códigos para funcionalidades e integrações pontuais, em especial Python Experiência e conhecimento em tecnologias de Inteligência Artificial, em especial interfaces conversacionais usando LLM (Large Language Model) Experiência com gestão de incidentes, vulnerabilidade, riscos,etc Experiência com guidelines e ferramentas OWASP Nossos benefícios: