Arm опубликовала на GitHub Metis под лицензией Apache‑2.0 — агентный AI‑фреймворк для автономного поиска сложных уязвимостей в коде. Проект уже применяется внутри компании для мониторинга более 130 проектов; авторы подчёркивают, что Metis ориентирован на обнаружение проблем, которые традиционные статические анализаторы часто пропускают из‑за межкомпонентных зависимостей и контекстных связей. Это важно для команд безопасности и разработчиков, поскольку инструмент обещает сократить время на ручную проверку и повысить надёжность автоматических сканов.
Технически Metis опирается на семантический анализ и агентные AI‑рабочие процессы: фреймворк использует RAG (retrieval‑augmented generation), чтобы комбинировать проект‑специфичный контекст из исходного кода, файлов сборки и документации с базовой большой языковой моделью. Metis может сканировать целые репозитории, отдельные файлы, pull‑request или недавние изменения и формировать понятные резюме и рекомендации на естественном языке, позволяя инженерам быстрее понять суть находок и шаги для их исправления.
Архитектура Metis рассчитана на расширяемость: в релизе заявлена поддержка любых LLM, совместимых с OpenAI, и плагинная система для добавления новых языков, моделей и кастомных промптов. В числе языков, уже поддерживаемых в релизе, указаны C, C++, Python, Go, TypeScript, Rust и другие; через плагины можно подключать дополнительные обработчики. Для развёртываний Metis совместим с Ollama и vLLM и настраивается через metis.yaml. В документации приведён пример конфигурации для локального Ollama с Llama 3.1:8b и моделями эмбеддингов nomic — embed‑text: v1.
для vLLM Arm рекомендует использовать LiteLLM как фронтенд и распределять трафик между экземплярами чат‑ и эмбеддинг‑моделей. По внутренним бенчмаркам Arm, при использовании GPT‑5.5 — Cyber в качестве базовой модели Metis показал 98% точности выявления уязвимостей против примерно 6% у традиционных SAST, а также до 10× выше TPR (true positive rate) и примерно на 50% меньше ложных срабатываний по отношению к ведущим статическим анализаторам. Metis может работать совместно с внешними SAST‑инструментами, валидируя их находки и снижая количество ложных позитивов — по задумке разработчиков это должно экономить инженерное время и повышать доверие к автоматизированным проверкам.
в дорожной карте указан план расширения функционала для проверки аппаратных уязвимостей.
Источники
Ответы (0)
Пока нет ответов в этой теме.
