Arm 的 Metis 是什麼？為何要用 AI 代理人框架揪出深層程式碼漏洞？

2. 檢索增強生成（RAG）提供的珍貴上下文

這可以說是 Metis 降低誤報率的祕密武器。在進行審查時，Metis 會透過 RAG 技術，從專案的程式碼庫、文件、過去的審查記錄和架構模式中，擷取相關的上下文資訊。這些上下文會被饋送給 LLM，讓模型在進行分析時，能充分理解這段程式碼「應該做什麼」，而非單純分析「它寫了什麼」。這種脈絡化的過濾機制，正是它能大幅減少雜訊的關鍵。

實戰成績單：130+ 專案與可擴充的語言支援

這不是一項停留在實驗室的技術。Arm 已將 Metis 實際部署在內部超過 130 個軟體專案中，並計劃在 2026 年底前推廣至全公司採用 。

在語言支援方面，Metis 採用靈活的外掛架構。首發版本原生支援 C 和 C++ ，而透過外掛系統，開發者可以輕鬆加入對 Python、Rust、TypeScript 甚至 Solidity 等語言的支援 。這表示無論團隊的技術棧如何演變，Metis 都有機會跟上腳步。

關於「95% 真陽性率」：事實與待確認的資訊

在現有的公開資料中，Arm 並未直接以「偵測率高達 95%」作為主打標語。Arm 官方公布的內部基準測試重點在於相對性的提升：

• 真陽性率比領先的靜態分析工具高出最多 10 倍。
• 誤報率則比這些工具降低了約 50% 。

至於外界流傳的「～95% 真陽性率」，目前在本次審閱的主要一手來源中並未獲得證實。這個數字可能來自某個特定專案子集的表現、社群自行進行的量測，或是後續更新的資料。如果這個絕對數字對您的評估至關重要，建議直接查閱 Metis 的 GitHub 頁面或 Arm 最新官方消息，以獲取最精確的內部指標。

為何選擇開源？從 Arm 的戰略視角看 Metis

Arm 將這樣一個強大的內部工具開源，背後的邏輯遠不只是「做公益」。在 Arm 的新聞稿與官方部落格中，可以歸納出幾個核心動機：

1. 回應 AI 時代的「噪音轟炸」：AI 技術的進展讓漏洞掃描的速度大幅提升，但同時也製造出海量低品質、高誤報的報告，大量消耗維護者的精力 。Metis 的目標正是從源頭解決這個「品質」問題，用 RAG 技術濾除雜訊，協助開發團隊把時間花在真正值得修復的問題上。
2. 生態系的共贏效應：Arm 的硬體與軟體生態系遍佈全球，其業務的穩定高度依賴整體軟體供應鏈的安全。將 Metis 開源，能吸引社群的貢獻與更廣泛的程式碼測試，讓工具變得更強大，最終回饋到 Arm 自身的產品安全上 。
3. 樹立業界協作標竿：採用 Apache 2.0 這種寬鬆的授權，符合 Arm 既有的開源策略。它能降低其他產品安全團隊、漏洞獎金計畫或 CI/CD 管線的採用門檻，促進跨組織的安全協作 。

結語：一場程式碼審查的推理革命

Metis 的出現，象徵著安全程式碼審查正在從「樣式比對」進化到「語意推理」的階段。它不只是一個新工具，更是一種方法論的轉變：透過結合 AI 的推理能力與專案的在地知識，讓偵測深層缺陷成為可能。對於任何長期維護大型、遺留或複雜程式庫的團隊來說，Metis 提供了一條值得密切關注的新途徑。