Arm 日前宣布将其内部安全研究团队开发的 Metis 框架完全开源。这是一个基于检索增强生成（RAG）架构的 Agentic AI 安全漏洞发现框架，目前已在其内部超过 130 个软件项目中运行，并计划于 2026 年底前完成 Arm 全系的采用。

真阳性率提升10倍，误报降低50%

Metis 最为引人注目的性能数据在于其漏洞发现的准确率：根据 Arm 官方发布的信息，Metis 的真阳性率（正确识别的漏洞）比主流静态分析工具高出最多 10 倍，同时误报率降低约 50%。这两个数字对于安全工具来说至关重要——高真阳性率意味着发现的是真正的漏洞而不是噪音，高阳性意味着安全团队不需要在海量误报中浪费时间。

技术架构：RAG + GPT-5.5-Cyber

Metis 的核心技术基于检索增强生成架构，其核心由大语言模型结合项目特定知识库构成。具体而言，Metis 使用 OpenAI 的 GPT-5.5-Cyber（通过 OpenAI Daybreak 平台接入），并在此基础上为每个项目构建自定义知识库——知识库的来源包括源代码、构建文件和文档。这种架构的优势在于，模型不仅具备通用的安全分析能力，还能理解特定项目的上下文和设计意图，从而大幅降低误报率。

在语言支持方面，Metis 目前支持 C、C++、Python、Rust 等主流编程语言，并正在扩展对 Verilog 的支持——后者意味着其能力边界正在从软件漏洞发现延伸至硬件漏洞验证领域。

不止于发现，还在于验证和行动指导

Metis 的另一核心能力在于其不只是输出漏洞列表，而是能够对发现结果进行验证，并提供清晰、可操作的修复建议摘要。这意味着安全团队可以直接根据 Metis 的输出制定修复计划，而不需要花费额外时间对每一条发现进行人工评估。

Arm 在公告中明确表示，开源 Metis 的动机源于"安全挑战是行业级别的挑战"这一认知。Arm 希望通过开源推动整个行业在安全研究领域的协作，而不仅仅是将工具留在内部使用。Metis 的 GitHub 仓库已公开，感兴趣的开发者可以直接访问 github.com/arm/metis 了解更多细节。

参考来源：https://newsroom.arm.com/blog/arm-metis-agentic-ai-security