Arm veröffentlicht Metis: Agentische KI revolutioniert die Sicherheitscode-Analyse

130+ interne Projekte und breite Sprachunterstützung

Arm hat Metis intern bereits in mehr als 130 Softwareprojekten im Einsatz, mit dem Ziel einer unternehmensweiten Einführung bis Ende 2026 . Der ursprüngliche Fokus lag auf C und C++ , doch das Plugin-System erlaubt die nahtlose Erweiterung auf Python, Rust und TypeScript . Einem Bericht zufolge wird auch an der Unterstützung für Solidity gearbeitet .

Leistungsdaten: 10x bessere Trefferquote, 50 % weniger Fehlalarme

Arm berichtet von beeindruckenden internen Benchmark-Ergebnissen :

• Bis zu 10-fach höhere True-Positive-Rate im Vergleich zu führenden SAST-Tools
• Etwa 50 % weniger False Positives durch die kontextbasierte RAG-Filterung

Wichtiger Hinweis: Die in einigen Diskussionen genannte „~95 % True-Positive-Rate“ kann aus den verfügbaren Primärquellen von Arm nicht als allgemeingültige Kennzahl bestätigt werden. Arm selbst spricht von einer 10-fachen Verbesserung der Trefferquote und etwa 50 % weniger Fehlalarmen , nicht von einem absoluten Prozentwert. Möglicherweise bezieht sich die 95 %-Angabe auf eine spezifische Teilmenge interner Projekte oder auf eine Messung durch Dritte – sie ist jedoch nicht in den offiziellen Arm-Materialien dokumentiert.

Warum veröffentlicht Arm Metis als Open Source unter Apache 2.0?

Arm hat sich aus mehreren strategischen Gründen für eine Veröffentlichung unter der Apache-2.0-Lizenz entschieden :

• Eskalation KI-generierter Schwachstellenmeldungen: KI-Modelle beschleunigen das Scannen nach Schwachstellen dramatisch. Gleichzeitig erzeugen sie eine Flut von Berichten minderer Qualität, die Maintainer überfordern . Metis soll genau dieses Qualitätsproblem lösen: weniger Fehlalarme durch kontextbasiertes Filtern und gleichzeitig das Aufspüren tieferliegender Fehler.
• Ökosystem-Effekt: Durch die freie Verfügbarkeit profitiert Arm von Community-Beiträgen, Tests in unterschiedlichsten Codebasen und einer verbesserten Sicherheit jener Software-Lieferkette, auf die Arms eigene Hardware angewiesen ist .
• Branchenweite Zusammenarbeit: Die Veröffentlichung unter einer gängigen, freizügigen Lizenz entspricht Arms Open-Source-Strategie und lädt andere Produktsicherheitsteams, Bug-Bounty-Programme und CI/CD-Pipelines zur Integration ein.

Metis reiht sich damit ein in einen wachsenden Trend: Auch Mozilla hat seinen 0DIN AI Security Scanner kürzlich unter Apache 2.0 veröffentlicht, um das gesamte Internet sicherer zu machen .

Einschränkungen und Sicherheitshinweise

Das Metis-Team weist ausdrücklich darauf hin, dass es sich um ein Kommandozeilenwerkzeug handelt, das nicht als Netzwerkdienst betrieben wird. Sicherheitsrelevante Validierungen erfolgen primär zum Zeitpunkt markierter Releases, nicht für Zwischenversionen oder Pre-Release-Code. Sicherheitslücken können an das Arm Product Security Incident Response Team (PSIRT) unter psirt@arm.com gemeldet werden .

Fazit

Mit Metis bringt Arm ein Werkzeug auf den Markt, das die Stärken großer Sprachmodelle mit einer durchdachten RAG-Architektur kombiniert, um die Qualität automatisierter Sicherheitscode-Reviews auf ein neues Niveau zu heben. Die interne Erprobung in über 130 Projekten und die überzeugenden Benchmark-Ergebnisse (10x TP-Rate, ~50 % FPs) machen es zu einem vielversprechenden Kandidaten für Entwicklungsteams, die über klassische SAST-Tools hinauswachsen wollen. Dass Arm die Technologie unter Apache 2.0 freigibt, unterstreicht den Anspruch, die Software-Sicherheit branchenweit zu verbessern – ein Ansatz, der in Zeiten wachsender KI-generierter Bedrohungsmeldungen dringend nötig ist.