Arm 开源 Metis,一个智能体 AI 安全框架,用于自主发现复杂的软件漏洞。与传统的基于模式的工具不同,Metis 采用语义推理来分析跨组件依赖关系,还能对漏洞发现结果给出条理清晰的自然语言说明。
据 Arm 称,现代代码库日益增长的复杂性使得传统的静态应用安全测试(SAST)工具难以在不产生高误报率的情况下跨多个函数边界或库检测漏洞。Metis 不依赖固定规则和模式匹配,而是采用“智能体” AI 来识别大型代码库中的安全问题:
通过将先进的分析技术与 AI 驱动的工作流相结合,Metis 能够识别出现有方法难以检测到的复杂安全漏洞,并在更早的阶段发现它们。
Metis 采用了检索增强生成(RAG)技术,利用从源代码、构建文件和文档中获取的项目上下文信息来增强基础大语言模型,帮助模型更透彻地理解系统设计与代码预期行为。Arm 表示,通过这种方法,Metis 可以分析整个代码库、单个文件、拉取请求或最近的代码变更,与领先的静态分析工具相比,漏洞真阳性检出率最高提升 10 倍,误报率降低约 50%。
误报会消耗宝贵的工程时间,并可能降低开发人员对自动化工具的信赖。通过减少误报,Metis 帮助工程团队专注于最重要的问题,加快修复速度,并减少验证和审查过程中的无效工作。
Metis 还可以与外部 SAST 工具协同工作,校验工具检出结果,进一步减少误报。在 Arm 的内部基准测试中,使用 GPT-5.5-Cyber 作为基础模型时,Metis 在识别漏洞方面达到了 98% 的准确率,而传统 SAST 仅为 6%。
除了简单地标记漏洞外,Metis 还能用清晰、可操作的摘要来说明发现结果,为开发人员和工程师提供理解和快速解决问题所需的上下文信息。
Metis 可与任何兼容 OpenAI 的 LLM 配合使用,并支持多种编程语言,包括 C、C++、Python、Go、TypeScript、Rust 等。基于插件的架构还能够让开发者轻松扩展新增编程语言、大模型以及自定义提示词的适配能力。
Metis 支持 Ollama 和 vLLM 部署,可在 metis.yaml 中进行相关配置。例如,要在本地机器上使用 Ollama 运行 Llama 3.1:
llm_provider: name: "ollama" base_url: "http://localhost:11434/v1" model: "llama3.1:8b" code_embedding_model: "nomic-embed-text:v1.5" docs_embedding_model: "nomic-embed-text:v1.5"进行 vLLM 部署时,Arm 推荐选用 LiteLLM 作为大模型服务前端,并配置 Metis 通过它转发调用请求。常规部署架构包含:一个提供对话模型的 vLLM 实例、一个提供嵌入模型的 vLLM 实例,以及一个用于协调它们之间流量的 LiteLLM 路由服务。
当前版本专注于软件系统漏洞的发现,不过 Arm 也正在努力扩展 Metis ,让它也支持硬件漏洞检测。
Arm 表示,Metis 目前正在公司内部监控超过 130 个软件项目。项目源码已发布在 GitHub 上,采用了 Apache 2.0 开源协议。
查看英文原文:https://www.infoq.com/news/2026/05/arm-metis-agentic-security/
