职位描述

Netflix的Workforce Security团队通过实施安全用户访问、SaaS和供应商使用、端点安全的控制来保护其员工、端点和供应商。目标是解决安全风险的同时，通过风险驱动的方法而不是政策要求，使业务敏捷性，并在公司内部建立强大的跨职能合作伙伴关系。我们正在寻找一位专注于生成式AI（GenAI）安全的L5安全工程师，加入我们的团队。这个角色对于识别和管理现有和新兴GenAI威胁对Netflix的影响至关重要。你将帮助推动可扩展的技术安全控制的发展，以增强业务敏捷性并降低风险。在该角色中，你的主要关注点将是GenAI安全在与业务场景相关的Workforce场景中。该Workforce Security Engineer角色主要关注保护Netflix面向员工的GenAI倡议，特别是第三方解决方案在业务生产力场景中的低代码/无代码代理和RAG企业搜索。关键职责包括识别和缓解GenAI威胁，教育利益相关者，并为内部合作伙伴提供直接的安全支持。工程师将专注于评估第三方GenAI产品的安全姿态及其与内部/外部系统（通过MCP、OAuth等）的集成。这将通过进行基于风险的安全评估、开发加固指南和缓解策略，以及通过威胁建模、渗透测试、代码审查（如有）和基于经典第三方风险管理（TPRM）技术的控制验证来完成。该角色还涉及扩大团队的安全能力，通过原型新工具、利用GenAI进行安全自动化以及进行build-vs-buy评估。最后，该角色需要强大的业务洞察力，将复杂的技术风险转化为清晰的业务风险，为利益相关者做出决策。运营职责包括在Workforce Security Operations中标准工作时间的支持以及偶尔的24/7事件响应参与。

任职要求

能够快速学习并启动快速发展的GenAI解决方案和安全问题；对商业可用的GenAI解决方案相关搜索（RAG）和低代码/无代码代理解决方案有某些经验（如Anthropic、OpenAI、Google、Microsoft）；对机器学习/AI基础和架构有高层次的理解，包括MCP、A2A和LLMs；对GenAI治理有高层次的理解；GenAI威胁分类学知识 - OWASP GenAI Top 10；威胁建模/渗透测试/代码审查/代码理解技能；熟悉现代GenAI开发工具和技巧；熟悉第三方风险管理（TPRM）方法；脚本（必须能够脚本，而不是生产级别，且使用GenAI足够）；自主驱动工作交付（偏向行动）；跨职能协作技能；对商业可用的企业安全工具在端点、身份、数据和供应商安全领域的功能有高层次的熟悉程度；能够通过战略目标分解为可操作的项目计划来应对模糊性；使用度量和指标来驱动决策和结果。