代理式 AI 加持 Arm Metis,提升軟體安全漏洞發現能力

June 17, 2026

做為開源的代理式 AI 安全框架,Arm Metis 支援大規模 AI 驅動的上下文安全分析,能夠更早識別軟體漏洞、節省時間與成本

作者:Arm 軟體工程部資深副總裁 Mark Hambleton

arm metis

代理式 AI 時代,現代軟體系統憑藉著日趨複雜的程式庫、開發框架、Runtime環境與函式庫而建。隨著這類系統的規模化部署,其產品交付前的安全性漏洞識別難度也與日俱增。

為因應這項挑戰,Arm 產品安全團隊研發了 Metis 開源項目——一款專為規模化程式碼函式庫識別複雜的安全隱憂而打造的代理式 AI 安全框架。目前,Metis 已在 Arm 內部 130 餘款軟體專案中投入使用,並計畫於 2026 年底前應用於 Arm 全線軟體。

Metis 是產業在軟體安全驗證領域的重要突破,代表工程團隊可提前發現問題、降低開發成本,全面提升產品的安全性與效能。


更早、更大規模地檢測複雜安全性漏洞

傳統靜態分析工具難以識別跨元件、跨系統、跨軟體層級的漏洞。透過將先進的分析技術與 AI 驅動的工作流程相結合,Metis 不僅能夠識別現有方案中難以發現的複雜安全性漏洞,還能在開發流程中更早完成漏洞定位。如此一來,不僅能節省時間,降低工程資源與驗證週期方面的成本,同時還能提升產品品質。

arm metis

Metis 正在提升漏洞檢測品質與開發者生產力。Arm 內部未經 AI 訓練的基準測試資料顯示,相較於產業主流的靜態分析工具,該框架可實現最高 10 倍的真陽性率 (true positive rates),並可降低約 50% 的誤報率 (false positives)

誤報會耗費寶貴的工程時間,並削弱開發團隊對自動化工具的信任。透過降低誤報率,Metis 能夠協助工程團隊聚焦最關鍵的問題,加速漏洞修復,並減少驗證與審核部分的無效投入。


Metis 如何實現上下文安全分析

Metis 基於檢索增強生成 (RAG) 架構建構,可將大語言模型 (LLM) 與專案專屬知識相結合,實現上下文安全分析。不同於主要依賴固定規則與模式匹配的傳統靜態分析工具,Metis 能夠結合上下文語境理解程式碼,並利用原始程式碼、編譯檔與開發文檔搭建客製化知識庫,進而更深入地掌握系統的設計邏輯與預期運行機制。這使得 Metis 可對完整程式碼倉庫、單個檔、拉取請求或最新程式碼變更進行分析,進而識別跨函數、元件與工作流程的複雜安全性漏洞。

此外,Metis 還能使用自我分析以及外部靜態應用安全測試 (SAST) 工具對發現進行驗證。透過分析原始程式碼、建構詳細圖譜、收集佐證依據並對潛在安全問題進行推演,Metis 能夠有效偵測疑似漏洞與誤報。

arm metis
Arm 內部基準測試顯示,透過 OpenAI Daybreak 使用 GPT-5.5-Cyber 模型的 Metis 能展現比傳統方式更為有效的安全辨識表現

在 Arm 內部部署場景中,Metis 透過 OpenAI Daybreak 平台調用 OpenAI 的 GPT-5.5-Cyber 模型,將其納入防禦性安全工作流程,同時融合先進的 AI 推論能力與各倉庫源程式碼專屬的深度上下文資訊。

Metis 還會闡明特定安全問題的關鍵所在,為開發者和工程師提供清晰、可執行的分析摘要,協助加速漏洞修復,完善安全開發實踐。Metis 支援 C、C++、Python、Rust 等多種程式設計語言,完整支援語言清單可點擊此處查看。


開放協作,共建更安全的生態系

安全是整個產業共同面臨的挑戰。正因如此,Arm 選擇將 Metis 開源,並向更廣泛的生態系開放。目前,該工具已獲得 Arm 合作夥伴採用,多家生態夥伴正在積極探索如何借助 AI 驅動的漏洞檢測技術,最佳化自身的開發工作流程。

儘管 Metis 初期主要用於軟體漏洞的發現,Arm 已著手將該技術擴展至新領域。該專案近期新增了對 Verilog 硬體描述語言的支援,Arm 正在與生態系合作夥伴合作,探索如何借助 Metis 實現更自動化的硬體漏洞驗證方案。

隨著 AI 系統、晶片與軟體堆疊之間的關聯日益緊密,安全分析也需要從孤立的軟體掃描,向更全面的系統級驗證演進。

arm metis


AI 驅動,構築漏洞檢測新未來

AI 正在重塑安全團隊識別和處理漏洞的方式。有了 Metis,Arm 率先打造出次世代 AI 驅動的安全工具,適合現代軟體的規模與複雜性,協助開發者和工程師更快地應對漏洞,同時降低驗證成本和工程投入。

透過提升漏洞發現能力、降低開發者負擔,並在整套軟體範圍內擴展驗證,Metis 正在為次世代安全運算鞏固堅實基礎。

關於 Arm

Arm 是 AI 時代的基礎平台,其兼具卓越效能與節能優勢的運算能力,觸及全球所有連網使用者。為因應對運算永無止境的需求,Arm 平台橫跨核心 IP、先進運算子系統及專用晶片,使國際頂尖的科技公司能靈活設計、打造並大規模部署 AI 應用。透過與規模最大的運算生態系及業界超過 2,200 萬名開發者的共同努力,我們正於 Arm 平台上建構 AI 的未來。


所有資訊都「依目前情況」提供,且並不帶保證或代表性。此文件可以自由分享,但不得修改且必須註明出處。Arm 是 Arm Limited(或其子公司與附屬機構)的註冊商標。所有品牌或產品名稱均為所屬公司之財產。© 1995-2026 Arm Limited.