Arm đã công bố mã nguồn mở Metis, một khuôn khổ bảo mật AI vượt trội so với các công cụ SAST truyền thống

Trang chủ InfoQ Tin tức Arm công bố mã nguồn mở Metis, một khung bảo mật AI vượt trội các công cụ SAST truyền thống DevOps Arm công bố mã nguồn mở Metis, một khung bảo mật AI vượt trội các công cụ SAST truyền thống Ngày 30/5/2026 2 phút đọc Bởi Sergio De Simone Viết cho InfoQ Thỏa mãn sự tò mò của bạn. Giúp hơn 550.000 nhà phát triển cấp cao trên toàn cầu mỗi tháng luôn dẫn đầu. Liên hệ Nghe bài viết này - 0:00 Âm thanh sẵn sàng phát Trình duyệt của bạn không hỗ trợ phần tử âm thanh. 0:00 0:00 Bình thường 1.25x 1.5x Thích Danh sách đọc Arm đã công bố mã nguồn mở Metis, một khuôn khổ bảo mật AI tác nhân được thiết kế để tự động phát hiện các lỗ hổng phần mềm phức tạp. Không giống như các công cụ dựa trên mẫu truyền thống, Metis áp dụng suy luận ngữ nghĩa để phân tích các phụ thuộc chéo thành phần và cung cấp giải thích rõ ràng, bằng ngôn ngữ tự nhiên cho các phát hiện của mình. Theo Arm, sự phức tạp ngày càng tăng của các cơ sở mã hiện đại khiến các công cụ kiểm thử bảo mật ứng dụng tĩnh (SAST) truyền thống gặp khó khăn trong việc phát hiện các lỗ hổng trên nhiều ranh giới chức năng hoặc thư viện mà không tạo ra tỷ lệ dương tính giả cao. Thay vì dựa vào các quy tắc cố định và khớp mẫu, Metis sử dụng AI "tác nhân" để xác định các vấn đề bảo mật trên các cơ sở mã quy mô lớn: Bằng cách kết hợp các kỹ thuật phân tích tiên tiến với quy trình làm việc hỗ trợ AI, Metis xác định các lỗ hổng bảo mật tinh vi hơn mà khó phát hiện bằng các phương pháp hiện có, cũng như xác định chúng sớm hơn trong quá trình. Metis sử dụng tạo sinh tăng cường truy xuất (RAG) để tăng cường một mô hình ngôn ngữ lớn (LLM) cơ sở với ngữ cảnh cụ thể của dự án được lấy từ mã nguồn, tệp xây dựng và tài liệu, giúp nó có cái nhìn rõ ràng hơn về thiết kế hệ thống và hành vi dự kiến. Với phương pháp này, Arm cho biết, Metis có thể phân tích toàn bộ kho lưu trữ, các tệp riêng lẻ, yêu cầu kéo hoặc các thay đổi mã gần đây, mang lại tỷ lệ dương tính thực cao hơn tới 10 lần và ít hơn khoảng 50% dương tính giả so với các công cụ phân tích tĩnh hàng đầu. Dương tính giả tiêu tốn thời gian kỹ thuật quý giá và có thể làm giảm niềm tin vào các công cụ tự động. Bằng cách giảm dương tính giả, Metis giúp các nhóm kỹ thuật tập trung vào các vấn đề quan trọng nhất, đẩy nhanh quá trình khắc phục và giảm lãng phí công sức trong quá trình xác thực và xem xét. Metis cũng có thể hoạt động cùng với các công cụ SAST bên ngoài và xác thực các phát hiện của chúng để giúp giảm số lượng dương tính giả. Trong các thử nghiệm nội bộ của Arm sử dụng GPT-5.5-Cyber làm mô hình cơ sở, Metis đạt độ chính xác 98% trong việc xác định các lỗ hổng, so với chỉ 6% đối với SAST truyền thống, theo công ty. Ngoài việc chỉ gắn cờ các lỗ hổng, Metis còn có thể giải thích các phát hiện của mình bằng các bản tóm tắt rõ ràng, có thể hành động, cung cấp cho các nhà phát triển và kỹ sư ngữ cảnh cần thiết để hiểu và giải quyết các vấn đề một cách nhanh chóng. Metis có thể được sử dụng với bất kỳ LLM tương thích OpenAI nào và hỗ trợ nhiều ngôn ngữ lập trình, bao gồm C, C++, Python, Go, TypeScript, Rust và các ngôn ngữ khác. Kiến trúc dựa trên plugin của nó cũng cho phép các nhà phát triển dễ dàng mở rộng hỗ trợ cho các ngôn ngữ, mô hình và lời nhắc tùy chỉnh bổ sung. Metis hỗ trợ cả triển khai Ollama và vLLM, được cấu hình trong metis.yaml. Ví dụ, để sử dụng Llama 3.1 với Ollama trên máy cục bộ: llm_provider: name: "ollama" base_url: "http://localhost:11434/v1" model: "llama3.1:8b" code_embedding_model: "nomic-embed-text:v1.5" docs_embedding_model: "nomic-embed-text:v1.5" Đối với các triển khai vLLM, Arm khuyến nghị sử dụng LiteLLM làm giao diện người dùng cho nhà cung cấp LLM và cấu hình Metis để định tuyến các yêu cầu thông qua đó. Một thiết lập điển hình bao gồm một phiên bản vLLM phục vụ mô hình trò chuyện, một phiên bản khác phục vụ mô hình nhúng và một bộ định tuyến LiteLLM để điều phối lưu lượng truy cập giữa chúng. Trong khi bản phát hành hiện tại tập trung vào các lỗ hổng trong hệ thống phần mềm, Arm đang nỗ lực mở rộng Metis để hỗ trợ xác minh lỗ hổng phần cứng. Arm cho biết Metis hiện đang giám sát hơn 130 dự án phần mềm trong công ty. Mã nguồn được cung cấp theo giấy phép Apache 2.0 trên GitHub. Về tác giả Sergio De Simone Hiển thị thêm Hiển thị ít hơn Đánh giá bài viết này Mức độ tiếp nhận Phong cách Tác giả đã liên hệ Nội dung này thuộc chủ đề DevOps Các chủ đề liên quan: Phát triển DevOps AI, ML & Kỹ thuật dữ liệu Mã nguồn mở Phân tích tĩnh Mô hình ngôn ngữ lớn ARM Bảo mật Lỗ hổng bảo mật Tác nhân Bài viết liên quan Nhà tài trợ liên quan Phổ biến trên InfoQ Máy chủ AWS MCP đạt GA với phạm vi API đầy đủ và quản trị dựa trên IAM Google giới thiệu kiến trúc Middleware cho ứng dụng Genkit NodeJS đề xuất hệ thống tệp ảo tích hợp, gây tranh cãi về đóng góp do AI tạo ra Gemma 4 dự đoán đa mã thông báo mang lại tốc độ tạo mã thông báo nhanh hơn tới ~3 lần GitHub cắt giảm chi phí mã thông báo quy trình làm việc của tác nhân tới 62% với kiểm toán hàng ngày và cắt tỉa MCP Theo đuổi phát triển Java hiệu quả: Từ 1BRC đến phát triển Hardwood AI nguyên bản