1、AI 驱动的安全审核体系建设 独立搭建基于大模型(LLM)+ 静态分析(SAST)+ 动态测试(DAST)的混合式 AI 安全审核流水线,将常规代码审计效率提升 3 倍以上; 训练/微调专属 Web3 安全检测模型,针对智能合约交互接口、钱包授权逻辑、跨链消息解析等高频风险点,实现自动化精准告警; 持续优化 AI 审核 Prompt 工程与规则库,降低误报率至 5% 以下,确保审核结果可直接作为上线决策依据。 2、Web3 应用全栈安全审计 独立完成前端(React/Vue)、后端(Java/Go)、API 网关及链上交互模块的安全评审,重点覆盖重放攻击、签名伪造、权限越权、敏感数据泄露等 Web3 特有漏洞; 对第三方 SDK、开源组件、RPC 节点服务进行供应链安全评估,建立 AI 辅助的依赖风险实时监测机制; 参与新产品需求与设计阶段的安全左移评审,输出可落地的安全设计规范,从源头规避架构级风险。 3、漏洞闭环与应急响应 对 AI 标记的高危线索进行人工复核与深度验证,出具包含复现步骤、修复方案、验证用例的完整审计报告; 主导安全漏洞的全生命周期管理,推动研发在 SLA 内完成修复,并通过 AI 回归测试自动验证修复有效性; 参与安全事件应急演练,利用 AI 快速生成攻击路径分析与止损预案,缩短 MTTR(平均响应时间)。 4、安全知识沉淀与赋能 将审核中发现的典型漏洞、AI 提效案例转化为内部知识库,定期组织研发安全培训; 跟踪 Web3 安全前沿趋势(如 MEV 攻击、账户抽象风险、AI 生成代码漏洞),持续迭代审核能力边界。
1、8年以上应用安全/渗透测试经验,至少4年 Web3/区块链项目安全实战经历; 2、AI 工具深度使用者:能独立编写 Python/JS 脚本串联 LLM API 与安全工具,有实际落地 AI 辅助代码审计、日志分析、漏洞挖掘的成功案例; 3、精通 OWASP Top 10、CWE/SANS Top 25 及 Web3 专属安全风险(如 EIP-712 签名滥用、闪电贷攻击向量); 4、熟练掌握至少一种 SAST/DAST 工具(Semgrep/SonarQube/Burp Suite/Acunetix),并能自定义规则扩展检测能力; 5、具备强独立思考与问题解决能力
独立负责整条业务线安全审核,直接向CEO 汇报
Map For Jobs — Web3行业的求职地图