ARM 开源 AI 驱动的安全代码审查工具 Metis

ARM 的产品安全团队近日宣布开源 Metis，一个基于代理式 AI 的深度安全代码审查框架。Metis 以希腊智慧女神命名，旨在帮助工程师发现传统静态分析工具难以捕捉的细微漏洞，改善安全编码实践，并减轻代码审查疲劳。

与传统的 linter 或静态分析工具不同，Metis 不依赖硬编码规则，而是利用大型语言模型（LLM）进行语义理解和推理。通过检索增强生成（RAG）技术，模型能够访问更广泛的代码上下文和相关逻辑，从而提供更准确和可操作的审查建议。

Metis 采用插件式架构，支持多种编程语言，包括 C、C++、Python、Rust、TypeScript、Go、Solidity、Verilog 等。每种语言都有对应的内置插件，可实现基于 tree-sitter 的语法分析、流分析或结构分析。此外，用户可以通过 Setuptools 入口点轻松添加对其他语言的支持。

该工具支持多种向量存储后端，包括默认的 ChromaDB 和用于规模化索引的 PostgreSQL（带 pgvector 扩展）。它提供了交互式 CLI 和非交互式模式，可集成到 CI/CD 管道中。核心命令包括：index（索引代码库）、review_code（全员安全审查）、review_file（单文件审查）、review_patch（补丁审查）、update（增量更新索引）、ask（问答）和 triage（对 SARIF 结果进行三分类）。

Metis 的配置通过 YAML 文件进行，可自定义 LLM 提供商、引擎行为、数据库连接等参数。提示模板也支持定制，以适应更严格的审计、隐私审查或合规性要求。该工具还支持自定义提示文件（.metis.md），用于注入组织特定的安全策略。

在输出方面，Metis 可生成 SARIF 格式的报告，并具备内部验证机制以降低误报率。它支持多种 LLM 服务，包括 OpenAI、vLLM、Ollama、LiteLLM 等，既可使用云端模型，也可部署本地模型。

Metis 采用 Apache 2.0 许可，已在 GitHub 上获得超过 560 颗星和 89 个 fork。ARM 团队表示，Metis 特别适用于大型、复杂或遗留代码库，在这些场景中传统工具往往力不从心。