Arm Mã Nguồn Mở Metis: Khung AI Bảo Mới Tố Cao Hơn Công Cụ SAST Truyền Thống

Arm đã chính thức mã nguồn mở Metis, một khung bảo mật AI (Artificial Intelligence) mới được thiết kế hoạt động như một tác nhân tự chủ để phát hiện các lỗ hổng phần mềm phức tạp. Khác biệt hoàn toàn với các công cụ kiểm thử bảo mật ứng dụng tĩnh (SAST) truyền thống dựa trên việc so khớp mẫu (pattern matching), Metis sử dụng khả năng lý luận ngữ nghĩa để phân tích các sự phụ thuộc chéo giữa các thành phần, đồng thời cung cấp giải thích bằng ngôn ngữ tự nhiên rõ ràng cho các phát hiện của mình.

Theo Arm, sự phức tạp ngày càng tăng của các cơ sở mã (codebase) hiện đại khiến các công cụ SAST truyền thống gặp khó khăn trong việc phát hiện lỗ hổng qua nhiều ranh giới hàm hoặc thư viện mà không tạo ra tỷ lệ báo động giả (false positives) cao. Thay vì dựa vào các quy tắc cố định, Metis sử dụng "AI tác nhân" để xác định các vấn đề bảo mật trên quy mô lớn:

Bằng cách kết hợp các kỹ thuật phân tích nâng cao với quy trình làm việc được hỗ trợ bởi AI, Metis xác định được các lỗ hổng bảo mật tinh vi hơn khó phát hiện bằng các phương pháp hiện có, cũng như phát hiện chúng sớm hơn trong quy trình phát triển.

Hiệu suất vượt trội với RAG

Metis sử dụng kỹ thuật Tạo sinh tăng cường truy xuất (Retrieval-Augmented Generation - RAG) để nâng cao mô hình ngôn ngữ lớn (LLM) cơ bản với ngữ cảnh cụ thể của dự án, bao gồm mã nguồn, tệp xây dựng và tài liệu. Điều này giúp Metis có cái nhìn toàn diện hơn về thiết kế hệ thống và hành vi dự kiến.

Arm cho biết với cách tiếp cận này, Metis có thể phân tích toàn bộ kho lưu trữ, các tệp riêng lẻ, pull request hoặc các thay đổi mã gần đây. Khung này mang lại tỷ lệ dương tính thật (true positive rates) cao hơn gấp 10 lần và giảm khoảng 50% số lượng báo động giả so với các công cụ phân tích tĩnh hàng đầu.

Trong các điểm chuẩn nội bộ của Arm sử dụng mô hình GPT-5.5-Cyber làm nền tảng, Metis đạt độ chính xác 98% trong việc xác định lỗ hổng, so với chỉ 6% của các công cụ SAST truyền thống.

Việc giảm thiểu báo động giả là rất quan trọng vì chúng tiêu tốn thời lượng kỹ thuật quý báu và có thể làm giảm niềm tin vào các công cụ tự động hóa. Bằng cách giảm thiểu điều này, Metis giúp các đội ngũ kỹ thuật tập trung vào các vấn đề quan trọng nhất, từ đó tăng tốc độ khắc phục và giảm nỗ lực lãng phí trong quá trình xác thực và xem xét.

Tính linh hoạt và khả năng tích hợp

Không chỉ đơn thuần gắn cờ các lỗ hổng, Metis còn có thể giải thích các phát hiện của mình bằng các tóm tắt có thể hành động được, cung cấp cho các nhà phát triển ngữ cảnh cần thiết để hiểu và giải quyết vấn đề nhanh chóng.

Metis có thể hoạt động cùng với các công cụ SAST bên ngoài để xác thực các phát hiện của chúng, giúp giảm số lượng báo động giả. Khung này tương thích với mọi LLM hỗ trợ chuẩn OpenAI và hỗ trợ nhiều ngôn ngữ lập trình, bao gồm C, C++, Python, Go, TypeScript, Rust và các ngôn ngữ khác. Kiến trúc dựa trên plugin của nó cũng cho phép các nhà phát triển dễ dàng mở rộng hỗ trợ cho các ngôn ngữ, mô hình và câu lệnh tùy chỉnh bổ sung.

Về việc triển khai, Metis hỗ trợ cả Ollama và vLLM, được cấu hình trong tệp metis.yaml. Ví dụ, để sử dụng Llama 3.1 với Ollama trên máy cục bộ, người dùng chỉ cần cấu hình nhà cung cấp LLM và URL cơ sở tương ứng. Đối với triển khai vLLM, Arm khuyến nghị sử dụng LiteLLM làm giao diện phía trước cho nhà cung cấp LLM và cấu hình Metis để định tuyến yêu cầu thông qua nó.

Tương lai và tính sẵn có

Mặc dù bản phát hành hiện tại tập trung vào các lỗ hổng trong hệ thống phần mềm, Arm đang làm việc để mở rộng Metis nhằm hỗ trợ xác minh lỗ hổng phần cứng trong tương lai.

Hiện tại, Arm cho biết Metis đang giám sát hơn 130 dự án phần mềm trong nội bộ công ty. Mã nguồn của dự án đã có sẵn trên GitHub theo giấy phép Apache 2.0, mở ra cơ hội cho cộng đồng phát triển toàn cầu đóng góp và tận dụng công nghệ bảo mật AI tiên tiến này.