H

Senior Application Security Engineer (Offensive e AI Security)

Descrição do Emprego - Senior Application Security Engineer (Offensive e AI Security)



Nossa história


Impactar desde o dia um. Foi com essa certeza que João Pedro Resende e Mateus Bicalho fundaram a Hotmart em 2011. Nascemos como uma startup e hoje somos uma empresa global de tecnologia, que entrega um ecossistema completo de soluções seguras e integradas para quem deseja criar, vender e escalar negócios digitais. E o melhor de tudo? Estamos só começando.


De cursos que mudam vidas a comunidades de nicho, todo tipo de história já aconteceu aqui. 1 em cada 4 brasileiros já consumiu conteúdo pela nossa plataforma. Afinal de contas, se as pessoas têm algo a ensinar, a Hotmart tem tudo para fazer acontecer.


Nossas pessoas


Hoje, somos mais de 1.700 Troopers espalhados pelo Brasil, Espanha, Colômbia, México, Estados Unidos e Países Baixos, onde fica localizada a nossa sede. E não importa onde estamos, o impacto positivo que geramos na vida das pessoas é o que torna o nosso trabalho único.


A transformação que queremos ver no mundo, começa em nós. Por isso, trabalhar na Hotmart é crescer com empatia, colaboração e responsabilidade. É saber que a inovação e a alta performance estão no nosso DNA. Porque o digital nos deu asas e jamais deixaremos o protagonismo para trás! 


Aqui você impacta de verdade.


Sobre a vaga


Estamos procurando um(a) Senior Application Security Engineer para ajudar a fortalecer a segurança de nossas aplicações, APIs, ciclo de vida de desenvolvimento e arquitetura de produtos modernos. 


Este cargo é focado em Segurança de Aplicações com uma mentalidade ofensiva. O profissional trabalhará em estreita colaboração com as equipes de engenharia e de produto para identificar riscos de segurança logo no início, validar vulnerabilidades por meio de testes controlados, apoiar práticas de desenvolvimento seguro e avaliar riscos emergentes relacionados ao uso de IA, LLMs, automação e sistemas baseados em agentes.


Esta não é uma função tradicional voltada apenas para Red Team, nem uma função exclusiva de IA. Estamos buscando alguém que entenda de desenvolvimento seguro, consiga realizar testes de segurança práticos (hands-on) e seja capaz de avaliar como novas tecnologias, como a IA, podem introduzir riscos de segurança nas aplicações e nos fluxos de negócios.


Principais atividades



  • Realizar avaliações de segurança em aplicações web, APIs, microsserviços, integrações e fluxos críticos de negócios.

  • Identificar e validar vulnerabilidades como falhas de controle de acesso, IDOR/BOLA, mass assignment, falhas de autenticação e autorização, webhooks inseguros, falhas de injeção, SSRF, exposição de dados, escalada de privilégios e abuso de lógica de negócios.

  • Conduzir testes práticos (hands-on) de segurança em aplicações e APIs utilizando técnicas de segurança ofensiva de maneira controlada e responsável.

  • Apoiar práticas de desenvolvimento seguro ao longo de todo o SDLC (Ciclo de Vida de Desenvolvimento de Software), incluindo revisões de design seguro, modelagem de ameaças, requisitos de segurança, suporte a code review e priorização de vulnerabilidades.

  • Trabalhar em estreita colaboração com as equipes de engenharia para explicar descobertas, avaliar o impacto, recomendar correções práticas e apoiar a remediação.

  • Avaliar riscos de segurança em recursos baseados em IA, integrações de LLM, fluxos de trabalho de automação, copilotos, sistemas baseados em RAG e aplicações agênticas, quando aplicável.

  • Ajudar a identificar riscos como injeção de prompt (prompt injection), vazamento de dados sensíveis, uso inseguro de ferramentas, autonomia excessiva (excessive agency), limites fracos de autorização e integração insegura com sistemas internos.

  • Criar scripts, ferramentas e automações para melhorar os testes de segurança, a coleta de evidências, a validação de vulnerabilidades e os fluxos de trabalho de AppSec.

  • Contribuir para diretrizes de segurança, playbooks, checklists e padrões internos de segurança de aplicações, segurança de APIs e riscos relacionados à IA. 

  • Produzir relatórios claros e acionáveis com evidências técnicas, impacto para o negócio, severidade e orientações para remediação.


Requisitos essenciais



  • Sólida experiência em Segurança de Aplicações (AppSec), Segurança de Produto (ProdSec), Testes de Penetração (Pentest) em Web/APIs ou Segurança Ofensiva com foco em aplicações.

  • Compreensão robusta de práticas de desenvolvimento seguro e dos riscos comuns de segurança de software.

  • Experiência prática (hands-on) em testes de aplicações web, APIs, fluxos de autenticação, modelos de autorização, lógica de negócios, integrações e microsserviços.

  • Forte conhecimento de OWASP Top 10, OWASP API Top 10, autenticação, autorização, OAuth/OIDC, JWT, APIs REST/GraphQL, webhooks e princípios de codificação segura.

  • Capacidade de identificar, validar e explicar de forma clara as vulnerabilidades e seu impacto no mundo real.

  • Experiência com ferramentas como Burp Suite, Postman/Insomnia, Nuclei, Semgrep, ferramentas de SAST/SCA/DAST, GitHub/GitLab, Docker ou tecnologias semelhantes.

  • Capacidade de automatizar tarefas de segurança utilizando Python, JavaScript, Bash, Go ou outra linguagem de programação/scripting.

  • Boa habilidade de comunicação para trabalhar com equipes de engenharia, produto e segurança.

  • Capacidade de escrever documentação técnica clara, incluindo passos para reprodução, evidências, análise de impacto, severidade e recomendações de remediação.


Diferenciais



  • Experiência com Red Team, Purple Team, programas de bug bounty, CTFs ou testes de segurança adversarial.

  • Experiência com segurança em nuvem (Cloud Security), containers, Kubernetes, esteiras de CI/CD, infraestrutura como código (IaC) e práticas de DevSecOps.

  • Familiaridade com tópicos de Segurança em IA, tais como segurança de LLMs, prompt injection, segurança de RAG, agentes de IA, uso inseguro de ferramentas, autonomia excessiva, vazamento de modelos/dados e evasão de proteções (guardrail bypass).

  • Conhecimento de frameworks como OWASP ASVS, OWASP LLM Top 10, OWASP Agentic Security, MITRE ATT&CK, MITRE ATLAS, NIST SSDF, CIS Controls ou PCI DSS.

  • Experiência nos setores de fintech, meios de pagamento, marketplaces, SaaS ou produtos digitais de alta escala.

  • Experiência no desenvolvimento de ferramentas internas, scripts ou automações para apoiar testes de segurança e gestão de vulnerabilidades.



O que esperamos desse cargo



  • Pensar como um atacante, mas trabalhar como parceria da engenharia.

  • Entender como as aplicações são projetadas, desenvolvidas, implantadas e abusadas.

  • Traduzir vulnerabilidades técnicas em riscos de negócios.

  • Ajudar as equipes a corrigir problemas de maneira prática e escalável.

  • Trazer profundidade em segurança ofensiva sem perder a perspectiva do desenvolvimento seguro. Manter-se atualizada sobre os riscos emergentes relacionados à IA e ajudar a empresa a adotar a IA de forma segura.


POR QUE TRANSFORMAR AO NOSSO LADO?



  • Plano de saúde e odontológico com cobertura nacional, sem custo para o colaborador e com coparticipação para cônjuge e dependentes; 

  • Vale refeição/alimentação (Flash - bandeira Visa); 

  • Benefício flexível (Flash Multibenefícios - bandeira Visa), podendo ser destinado à alimentação, refeição, mobilidade (aplicativos de transporte, combustível, transporte público em SP), cultura, saúde e educação;

  • Previdência privada; 

  • Vale transporte;

  • Seguro de vida;

  • Wellhub;

  • Auxílio creche para filhos de até cinco anos;

  • Budget de educação: valor destinado aos investimentos relacionados à sua educação, de forma a contribuir para desenvolver e potencializar suas competências;

  • Incentivo ao aprendizado de idiomas por meio de plataforma online;

  • Baby On Board: benefício oferecido para as pessoas que estão se preparando para a maternidade e paternidade; 

  • Licença maternidade estendida (180 dias);

  • Licença Paternidade estendida (30 dias);

  • Conexa Saúde: acesso online gratuito a profissionais da área da saúde - Nutricionista e Psicólogo;

  • Participação anual nos lucros e resultados da companhia (PLR);

  • Hotmart Recharge: bônus de 30% do salário bruto mensal, pago após cumprir o período aquisitivo de férias de 30 dias.


 


VEM PRA HOTMART


Fazer parte do nosso time é ter a certeza de que seu trabalho transforma vidas em escala global. Vem para a Hotmart e faça parte dessa transformação!


 

Original job Senior Application Security Engineer (Offensive e AI Security) posted on GrabJobs ©. To flag any issues with this job please use the Report Job button on GrabJobs.
Share Job
Share Job

Similar Senior Application Security Engineer Jobs in Brazil

O GrabJobs é o portal de empregos número 1 em Brazil, conectando você rapidamente a milhares de empregos de ! Encontre os melhores empregos de em Brazil, candidate-se com apenas 1 clique e consiga um emprego hoje!

Aplicativos de Celular

Copyright © 2026 Grabjobs Pte.Ltd. All Rights Reserved.