Agentic AI赋能的 ARM Metis 系统,推动软件安全漏洞检测技术升级-夜雨聆风

Agentic AI赋能的 ARM Metis 系统,推动软件安全漏洞检测技术升级

作者：Mark Hambleton ARM 公司软件业务高级副总裁

发布时间：2026年5月28日

这款开源agentic AI安全框架，可大规模开展基于上下文的智能化安全分析，助力尽早发现软件漏洞，节约时间与成本。

在人工智能时代，现代软件系统依托愈发复杂的代码库、开发框架、运行时环境及程序库搭建而成。随着系统规模不断扩大，如何在产品交付用户前排查出安全漏洞，也成为一大难题。

为应对这一挑战，ARM 产品安全团队研发并开源了 Metis，一款agentic AI安全框架，专门用于在大规模代码库中排查各类复杂安全问题。目前，ARM 内部已有超过 130 个软件项目部署使用 Metis，公司计划在 2026 年底前将该框架全面应用于旗下所有软件项目。

Metis 代表着行业在软件安全检测领域迈出的重要一步，能够协助研发团队尽早发现问题、降低开发成本，同时全面提升产品的安全性与运行性能。

传统静态分析工具在检测跨多个组件、系统或软件层级的漏洞时往往存在局限。Metis 融合先进分析技术与AI赋能的工作流，不仅能够发现当前工具难以识别的复杂安全漏洞，还可在软件开发更早阶段完成检测。既节省了研发人力与验证周期的时间成本，也提升了产品质量。

对比ARM 内部未经过AI专项训练的基准测试结果，Metis 在检测效果与研发人员工作效率上均实现提升，具体表现为：准确率提升至原有水平的 10 倍；相较于主流静态分析工具，误报率降低约 50%。

误报会占用大量研发精力，还会削弱工作人员对自动化工具的信任。Metis 有效减少误报，让研发团队得以聚焦核心安全问题，加快漏洞修复进度，减少验证与审核环节中的无效工作。

Metis 基于检索增强生成（RAG）架构打造，将大语言模型与项目专属知识库相结合，实现结合上下文的安全分析。传统静态分析工具主要依靠固定规则与模式匹配开展检测，而 Metis 能够结合代码所处场景理解代码逻辑，并基于源代码、编译文件及技术文档搭建专属知识库，深度掌握系统的设计思路与运行逻辑。

该框架可对完整代码仓库、单个文件、代码合并请求或是近期代码变更进行分析，从而精准定位跨功能模块、跨组件、跨业务流程的复杂漏洞。

此外，Metis 还可对自身及外部静态应用安全测试工具（SAST）输出的检测结果进行核验。它能够遍历源代码、构建详细逻辑图谱、收集佐证信息，并对潜在安全风险进行逻辑研判，以此区分真实漏洞与误报信息。

ARM 内部基准测试：Metis 借助 OpenAI Daybreak 平台调用 GPT-5.5-Cyber 模型

在 ARM 内部部署场景中，Metis 依托OPENAI公司的 “DayBreak” 平台调用 GPT-5.5 – 网络安全专用模型，将高阶人工智能推理能力与代码仓库专属的深度上下文信息相结合，构建主动防御安全工作流。

Metis 还会对安全问题的风险影响进行解读，为研发人员提供清晰、可落地的整改说明，助力加快漏洞修复，推动安全开发规范落地。该框架支持多种编程语言，其中包括 C、C++、Python、Rust 等，完整支持语言列表可查阅对应页面。

安全风险是全行业共同面临的挑战，这也是 ARM 选择开源 Metis、向整个技术生态开放该工具的原因。目前，除 ARM 内部外，已有众多合作伙伴开始试用该项目，探索如何借助人工智能漏洞检测技术优化自身开发流程。

Metis 现阶段主要聚焦软件漏洞检测，同时 ARM 也在推动该技术向更多领域延伸。项目近期新增了对 Verilog 硬件描述语言的支持，ARM 正联合生态合作伙伴，探索借助 Metis 实现硬件漏洞检测的自动化方案。

随着人工智能系统、芯片与软件架构的融合程度不断加深，安全分析工作也不能再局限于孤立的软件扫描，而是要升级为全域系统级安全检测。

人工智能正在重塑安全团队发现与处置漏洞的方式。依托 Metis，ARM 致力于打造面向现代软件大规模、高复杂度特性的新一代人工智能安全工具，帮助研发人员更快处置漏洞，降低验证环节的人力与时间成本。

凭借更强的漏洞检测能力、更低的研发负担，以及可覆盖软件全流程的安全检测能力，Metis 将为下一代安全计算体系筑牢根基。

https://newsroom.arm.com/blog/arm-metis-agentic-ai-security

https://github.com/arm/metis

（完）