Arm开源AI安全框架 Metis性能优于传统SAST工具

Arm 开源 Metis一个智能体 AI 安全框架用于自主发现复杂的软件漏洞。与传统的基于模式的工具不同Metis 采用语义推理来分析跨组件依赖关系还能对漏洞发现结果给出条理清晰的自然语言说明。据 Arm 称现代代码库日益增长的复杂性使得传统的静态应用安全测试SAST工具难以在不产生高误报率的情况下跨多个函数边界或库检测漏洞。Metis 不依赖固定规则和模式匹配而是采用“智能体” AI 来识别大型代码库中的安全问题通过将先进的分析技术与 AI 驱动的工作流相结合Metis 能够识别出现有方法难以检测到的复杂安全漏洞并在更早的阶段发现它们。Metis 采用了检索增强生成RAG技术利用从源代码、构建文件和文档中获取的项目上下文信息来增强基础大语言模型帮助模型更透彻地理解系统设计与代码预期行为。Arm 表示通过这种方法Metis 可以分析整个代码库、单个文件、拉取请求或最近的代码变更与领先的静态分析工具相比漏洞真阳性检出率最高提升 10 倍误报率降低约 50%。误报会消耗宝贵的工程时间并可能降低开发人员对自动化工具的信赖。www.iissbbs.com通过减少误报Metis 帮助工程团队专注于最重要的问题加快修复速度并减少验证和审查过程中的无效工作。Metis 还可以与外部 SAST 工具协同工作校验工具检出结果进一步减少误报。在 Arm 的内部基准测试中使用 GPT-5.5-Cyber 作为基础模型时Metis 在识别漏洞方面达到了 98% 的准确率而传统 SAST 仅为 6%。除了简单地标记漏洞外Metis 还能用清晰、可操作的摘要来说明发现结果为开发人员和工程师提供理解和快速解决问题所需的上下文信息。Metis 可与任何兼容 OpenAI 的 LLM 配合使用www.ntjrcw.com并支持多种编程语言包括 C、C、Python、Go、TypeScript、Rust 等。基于插件的架构还能够让开发者轻松扩展新增编程语言、大模型以及自定义提示词的适配能力。Metis 支持 Ollama 和 vLLM 部署可在 metis.yaml 中进行相关配置。例如要在本地机器上使用 Ollama 运行 Llama 3.1llm_provider:name: ollamabase_url: http://localhost:11434/v1model: llama3.1:8bcode_embedding_model: nomic-embed-text:v1.5docs_embedding_model: nomic-embed-text:v1.5进行 vLLM 部署时Arm 推荐选用 LiteLLM 作为大模型服务前端并配置 Metis 通过它转发调用请求。常规部署架构包含一个提供对话模型的 vLLM 实例、一个提供嵌入模型的 vLLM 实例以及一个用于协调它们之间流量的 LiteLLM 路由服务。当前版本专注于软件系统漏洞的发现不过 Arm 也正在努力扩展 Metis 让它也支持硬件漏洞检测。Arm 表示Metis 目前正在公司内部监控超过 130 个软件项目。项目源码已发布在 GitHub 上采用了 Apache 2.0 开源协议。