芯耀
与非AI
202
作为开源的智能体 AI 安全框架,Arm Metis 支持大规模 AI 驱动的上下文安全分析,助力更早识别软件漏洞、节省时间与成本
人工智能 (AI) 时代,现代软件系统依托日趋复杂的代码库、开发框架、运行时环境与程序库而建。随着这类系统的规模化落地,其产品交付前的安全漏洞识别难度也与日俱增。
为应对这一挑战,Arm 产品安全团队研发了 Metis 开源项目——一款专为规模化代码库识别复杂安全隐患而打造的智能体 AI 安全框架。目前,Metis 已在 Arm 内部 130 余款软件项目中投入使用,并计划于 2026 年底前覆盖 Arm 全线软件。
Metis 是行业在软件安全验证领域的重要突破,可帮助工程团队提前发现问题、降低开发成本,全面提升产品的安全性与性能。
更早、更大规模地检测复杂安全漏洞
传统静态分析工具难以识别跨组件、跨系统、跨软件层级的漏洞。通过将先进的分析技术与 AI 驱动的工作流相结合,Metis 不仅能够识别现有方案中难以发现的复杂安全漏洞,还能在开发流程中更早完成漏洞定位。如此一来,不仅能节省时间,降低工程资源与验证周期方面的成本,同时还能提升产品质量。
Metis 正在提升漏洞检测质量与开发者生产力。Arm 内部未经 AI 训练的基准测试数据显示,较于行业主流静态分析工具,该框架可实现最高 10 倍的真阳性率 (true positive rates),并可降低约 50% 的误报率 (false positives)。
误报会耗费宝贵的工程时间,并削弱开发团队对自动化工具的信任。通过降低误报率,Metis 能够帮助工程团队聚焦最关键的问题,加速漏洞修复,并减少验证与审核环节的无效投入。
Metis 如何实现上下文安全分析
Metis 基于检索增强生成 (RAG) 架构构建,可将大语言模型 (LLM) 与项目专属知识相结合,实现上下文安全分析。不同于主要依赖固定规则与模式匹配的传统静态分析工具,Metis 能够结合上下文语境理解代码,并利用源代码、编译文件与开发文档搭建定制化知识库,从而更深入地掌握系统的设计逻辑与预期运行机制。这使得 Metis 可对完整代码仓库、单个文件、拉取请求或最新代码变更进行分析,进而识别跨函数、组件与工作流的复杂安全漏洞。
此外,Metis 还能使用自我分析以及外部静态应用安全测试 (SAST) 工具对发现进行验证。通过分析源代码、构建详细图谱、收集佐证依据并对潜在安全问题进行推演,Metis 能够有效甄别疑似漏洞与误报。
Arm 内部基准测试显示,通过 OpenAI Daybreak 使用 GPT-5.5-Cyber 模型的 Metis 能展现比传统方式更为有效的安全辨识表现
在 Arm 内部部署场景中,Metis 通过 OpenAI Daybreak 平台调用 OpenAI 的 GPT-5.5-Cyber 模型,将其纳入防御性安全工作流,同时融合先进的 AI 推理能力与各仓库源码专属的深度上下文信息。
Metis 还会阐明特定安全问题的关键所在,为开发者和工程师提供清晰、可落地的分析摘要,助力加速漏洞修复,完善安全开发实践。Metis 支持 C、C++、Python、Rust 等多种编程语言,完整支持语言列表可点击此处查看。
开放协作,共建更安全的生态系统
安全是整个行业共同面临的挑战。正因如此,Arm 选择将 Metis 开源,并向更广泛的生态系统开放。目前,该工具已经获 Arm 合作伙伴采用,多家生态伙伴正在积极探索如何借助 AI 驱动的漏洞检测技术,优化自身的开发工作流。
尽管 Metis 初期主要用于软件漏洞发现,Arm 已着手将该技术扩展至新领域。该项目近期新增了对 Verilog 硬件描述语言的支持,Arm 正在与生态合作伙伴携手,探索如何借助 Metis 实现更自动化的硬件漏洞验证方案。
随着 AI 系统、芯片与软件栈之间的关联日益紧密,安全分析也需要从孤立的软件扫描,向更全面的系统级验证演进。
AI 驱动,构筑漏洞检测新未来
AI 正在重塑安全团队识别和处理漏洞的方式。借助 Metis,Arm 率先打造出新一代 AI 驱动的安全工具,适配现代软件的规模与复杂性,帮助开发人员和工程师更快地应对漏洞,同时降低验证成本和工程投入。
通过提升漏洞发现能力、降低开发者负担,并在整套软件范围内扩展验证,Metis 正在为下一代安全计算筑牢坚实根基。
作者:Arm 工程部软件高级副总裁 Mark Hambleton
