Arm ने 30 मई को Metis ओपन-सोर्स किया, एक एजेंटिक AI सिक्योरिटी फ्रेमवर्क जो LLM-driven सेमांटिक रीज़निंग का उपयोग करके कंपोनेंट डिपेंडेंसीज़ के पार सॉफ़्टवेयर वल्नरेबिलिटीज़ को स्वायत्त रूप से खोजता है। लाइसेंस Apache 2.0 है; कोड GitHub पर है। हेडलाइन बेंचमार्क, Arm के GPT-5.5-Cyber को बेस मॉडल के रूप में उपयोग करने वाले आंतरिक मूल्यांकन से: वल्नरेबिलिटीज़ की पहचान में 98 प्रतिशत सटीकता बनाम पारंपरिक पैटर्न-आधारित SAST टूल्स के लिए 6 प्रतिशत, ट्रू-पॉज़िटिव डिटेक्शन रेट्स में 10 गुना तक उच्च और फॉल्स पॉज़िटिव्स में लगभग 50 प्रतिशत कम। Metis किसी भी OpenAI-compatible LLM के साथ काम करता है, C, C++, Python, Go, TypeScript, Rust और अधिक का समर्थन करता है, और मौजूदा SAST टूल्स के साथ-साथ काम कर सकता है ताकि उनके निष्कर्षों को सत्यापित और फॉल्स पॉज़िटिव्स को छाँट सके। Arm के भीतर, Metis पहले से ही 130 से अधिक सॉफ़्टवेयर प्रोजेक्ट्स पर चल रहा है, जिसमें 2026 के अंत तक Arm-wide अपनाने की योजना है।
आर्किटेक्चर इस move का सार है। पारंपरिक SAST सिंटेक्स और ज्ञात ताइंट हस्ताक्षरों पर पैटर्न-मैचिंग है, यही कारण है कि इसमें प्रसिद्ध सटीकता-रिकॉल समस्या है: वास्तविक बग्स को पकड़ने के लिए चौड़े जाल फेंकें और आप फॉल्स पॉज़िटिव्स में डूब जाते हैं; पैटर्न्स को कसें और आप उन बग वर्गों को मिस करते हैं जिनके लिए यह समझना ज़रूरी है कि कोड वास्तव में फ़ाइलों के पार क्या करता है। Metis कंपोनेंट्स के बीच संबंधों पर LLM-driven रीज़निंग लागू करता है, जो वह स्तर है जहाँ अधिकांश प्रोडक्शन-ग्रेड वल्नरेबिलिटीज़ रहती हैं (क्रॉस-मॉड्यूल अनुमान बेमेल के माध्यम से auth bypass, डिपेंडेंसी सीमाओं के पार deserialization gadgets, कई कॉल साइट्स में फैले time-of-check-time-of-use विंडोज़)। Metis निष्कर्षों के लिए जो प्राकृतिक-भाषा स्पष्टीकरण उत्पन्न करता है वह भी वह चीज़ है जो SAST ने आपको कभी नहीं दी: एक SAST रिपोर्ट लाइन नंबर्स और नियम ID की सूची है; एक LLM-reasoned रिपोर्ट इस बारे में एक परिकल्पना है कि एक हमलावर असुरक्षित अवस्था तक कैसे पहुँचेगा। यह कच्चे डिटेक्शन नंबर्स के सुझाव से अधिक प्रति निष्कर्ष ट्राइएज लागत को बदलता है।
दो इकोसिस्टम थ्रेड्स। पहला, बेंचमार्क गैप वास्तविक है लेकिन वेंडर-प्रकाशित। Arm का 98 vs 6 नंबर उनके आंतरिक eval से है, और हर "हमने पिछली चीज़ को 16x से हराया" क्लेम की तरह, आपके इन्फ्रा पर बेट लगाने से पहले आपके वर्कलोड से मेल खाने वाले वर्कलोड्स पर स्वतंत्र रिप्रोडक्शन की आवश्यकता है। आशाजनक संकेत यह है कि Arm पहले से ही आंतरिक रूप से बड़े पैमाने पर Metis तैनात कर रहा है (130+ प्रोजेक्ट्स, फुल-कंपनी अपनाने की योजना), जो एक मज़बूत डॉगफूड संकेत है भले ही बाहरी बेंचमार्क अभी नहीं उतरे हैं। दूसरा, "बाहरी SAST निष्कर्षों को मान्य करता है" मोड वह एकीकरण पथ है जिसे अधिकांश प्रोडक्शन टीमें वास्तव में पहले चाहेंगी। मौजूदा SAST टूल्स (CodeQL, Semgrep, Snyk Code) बहुत शोर उत्पन्न करते हैं; SAST को पूरी तरह से प्रतिस्थापित करने की तुलना में फॉल्स पॉज़िटिव्स को छाँटने के लिए Metis को डाउनस्ट्रीम वेरिफायर के रूप में उपयोग करना कम जोखिम वाला अपनाना है। यह हाइब्रिड मुद्रा वह है जो Metis को मौजूदा पाइपलाइनों का पूरक बनाती है बजाय एक मजबूर रिप-एंड-रिप्लेस।
सोमवार सुबह, अगर आप कोड शिप करते हैं जो किसी भी SAST गेट से गुज़रता है: Metis आपके मौजूदा टूल के ऊपर फॉल्स-पॉज़िटिव-कमी लेयर के रूप में परीक्षण के लायक है, Apache 2.0 लाइसेंस और OpenAI-compatible LLM बैकएंड को देखते हुए। अगर आप C, C++, Rust, या Go के साथ बनाते हैं, भाषा समर्थन वहाँ है। अपने अंतिम 100 SAST निष्कर्षों के विरुद्ध Metis चलाएँ, गिनें कि कितने को यह सही ढंग से फॉल्स पॉज़िटिव्स के रूप में ड्रॉप करता है बनाम कितने ट्रू पॉज़िटिव्स को यह सही ढंग से एस्केलेट करता है, और 98 प्रतिशत हेडलाइन के बजाय उस संकेत के आधार पर निर्णय लें। अगर आपके पास कोई मौजूदा SAST पाइपलाइन नहीं है, Metis एक green-field विकल्प भी है, हालाँकि न्यू-डिप्लॉयमेंट पथ अभी थर्ड-पार्टी बेंचमार्क रिप्रोडक्शन की कमी को देखते हुए अधिक जोखिम भरा है। और अगर आप एक सिक्योरिटी टूल वेंडर हैं, एजेंटिक-LLM-ऑन-टॉप-ऑफ़-एक्ज़िस्टिंग-रूल्स पैटर्न अध्ययन के लायक डिज़ाइन move है।
