作者:Arm 工程部软件高级副总裁 Mark Hambleton
人工智能 (AI) 时代,现代软件系统依托日趋复杂的代码库、开发框架、运行时环境与程序库而建。随着这类系统的规模化落地,其产品交付前的安全漏洞识别难度也与日俱增。
为应对这一挑战,Arm 产品安全团队研发了 Metis 开源项目 —— 一款专为规模化代码库识别复杂安全隐患而打造的智能体 AI 安全框架。目前,Metis 已在 Arm 内部 130 余款软件项目中投入使用,并计划于 2026 年底前覆盖 Arm 全线软件。
Metis 是行业在软件安全验证领域的重要突破,可帮助工程团队提前发现问题、降低开发成本,全面提升产品的安全性与性能。
更早、更大规模地检测复杂安全漏洞
传统静态分析工具难以识别跨组件、跨系统、跨软件层级的漏洞。通过将先进的分析技术与 AI 驱动的工作流相结合,Metis 不仅能够识别现有方案中难以发现的复杂安全漏洞,还能在开发流程中更早完成漏洞定位。如此一来,不仅能节省时间,降低工程资源与验证周期方面的成本,同时还能提升产品质量。
Metis 正在提升漏洞检测质量与开发者生产力。Arm 内部未经 AI 训练的基准测试数据显示,较于行业主流静态分析工具,该框架可实现最高 10 倍的真阳性率 (true positive rates),并可降低约 50% 的误报率 (false positives)。
误报会耗费宝贵的工程时间,并削弱开发团队对自动化工具的信任。通过降低误报率,Metis 能够帮助工程团队聚焦最关键的问题,加速漏洞修复,并减少验证与审核环节的无效投入。
Metis 如何实现上下文安全分析
Metis 基于检索增强生成 (RAG) 架构构建,可将大语言模型 (LLM) 与项目专属知识相结合,实现上下文安全分析。不同于主要依赖固定规则与模式匹配的传统静态分析工具,Metis 能够结合上下文语境理解代码,并利用源代码、编译文件与开发文档搭建定制化知识库,从而更深入地掌握系统的设计逻辑与预期运行机制。这使得 Metis 可对完整代码仓库、单个文件、拉取请求或最新代码变更进行分析,进而识别跨函数、组件与工作流的复杂安全漏洞。
此外,Metis 还能使用自我分析以及外部静态应用安全测试 (SAST) 工具对发现进行验证。通过分析源代码、构建详细图谱、收集佐证依据并对潜在安全问题进行推演,Metis 能够有效甄别疑似漏洞与误报。
图:Arm 内部基准测试显示,通过 OpenAI Daybreak 使用 GPT-5.5-Cyber 模型的 Metis 能展现比传统方式更为有效的安全辨识表现
在 Arm 内部部署场景中,Metis 通过 OpenAI Daybreak 平台调用 OpenAI 的 GPT-5.5-Cyber 模型,将其纳入防御性安全工作流,同时融合先进的 AI 推理能力与各仓库源码专属的深度上下文信息。
Metis 还会阐明特定安全问题的关键所在,为开发者和工程师提供清晰、可落地的分析摘要,助力加速漏洞修复,完善安全开发实践。Metis 支持 C、C++、Python、Rust 等多种编程语言。
完整支持语言列表:https://github.com/arm/metis#supported-languages
开放协作,共建更安全的生态系统
安全是整个行业共同面临的挑战。正因如此,Arm 选择将 Metis 开源,并向更广泛的生态系统开放。目前,该工具已经获 Arm 合作伙伴采用,多家生态伙伴正在积极探索如何借助 AI 驱动的漏洞检测技术,优化自身的开发工作流。
尽管 Metis 初期主要用于软件漏洞发现,Arm 已着手将该技术扩展至新领域。该项目近期新增了对 Verilog 硬件描述语言的支持,Arm 正在与生态合作伙伴携手,探索如何借助 Metis 实现更自动化的硬件漏洞验证方案。
随着 AI 系统、芯片与软件栈之间的关联日益紧密,安全分析也需要从孤立的软件扫描,向更全面的系统级验证演进。
AI 驱动,构筑漏洞检测新未来
AI 正在重塑安全团队识别和处理漏洞的方式。借助 Metis,Arm 率先打造出新一代 AI 驱动的安全工具,适配现代软件的规模与复杂性,帮助开发人员和工程师更快地应对漏洞,同时降低验证成本和工程投入。
通过提升漏洞发现能力、降低开发者负担,并在整套软件范围内扩展验证,Metis 正在为下一代安全计算筑牢坚实根基。
如需了解更多 Metis 相关信息,可点击阅读原文,访问 GitHub 平台开源项目进行查看;也可发送邮件至metis@arm.com联系 Arm 产品安全团队。
推荐阅读:
券商晨会精华:京沪房价止跌传递积极信号,有望加速房地产市场预期的修复
