Arm開源AI資安框架Metis，鎖定傳統SAST工具難以發現的漏洞

在技術架構上，Arm指出，Metis採用檢索增強生成（RAG）架構，結合大型語言模型（LLM）與專案特定知識，依據原始碼、建置檔與文件等資訊建立知識庫，用於分析整個儲存庫、單一檔案、拉取請求（pull request）或近期程式碼變更。

圖片來源/Arm

根據Arm未納入AI訓練的內部基準測試結果，Metis相較於主要靜態分析工具，正確率最高可提高10倍，誤報約減少50%。研究團隊也在防禦性資安工作流程中，透過OpenAI資安防禦方案Daybreak，使用GPT-5.5-Cyber模型搭配Metis進行分析，在涵蓋352個韌體與驅動程式的評估案例中，達到98%的基準測試命中率；相較之下，傳統SAST工具的檢出比例僅為6%。

Arm表示，Metis目前已用於Arm內部超過130個軟體專案，並計畫在2026年底前擴大至全公司軟體開發流程。Metis支援C、C++、Python、Rust、TypeScript等語言，可串接主要大型語言模型服務，也可透過vLLM、Ollama等工具使用本地或其他模型服務。