Arm libera Metis: framework de IA para segurança que supera ferramentas SAST tradicionais

Arm lança Metis, framework de segurança com inteligência artificial de última geração

A Arm anunciou a abertura do código-fonte do Metis, um framework de segurança baseado em inteligência artificial agentic, projetado para detectar vulnerabilidades complexas em softwares de forma autônoma. Diferentemente das ferramentas tradicionais de análise estática de segurança (SAST), que dependem de padrões fixos, o Metis utiliza raciocínio semântico para analisar dependências entre componentes e gera explicações claras em linguagem natural sobre suas descobertas.

Como o Metis revoluciona a detecção de vulnerabilidades

Com a crescente complexidade dos códigos modernos, ferramentas SAST convencionais enfrentam dificuldades para identificar vulnerabilidades que envolvem múltiplas funções ou bibliotecas, além de apresentarem altas taxas de falso-positivos, que consomem tempo dos desenvolvedores e minam a confiança nas ferramentas.

O Metis supera essas limitações ao aplicar uma abordagem "agentic", combinando técnicas avançadas de análise com fluxos de trabalho habilitados por IA. Ele utiliza retrieval-augmented generation (RAG) para aprimorar um modelo de linguagem grande (LLM) base com contexto específico do projeto, extraído do código-fonte, arquivos de build e documentação. Isso permite ao Metis entender melhor o design do sistema e seu comportamento esperado.

Segundo a Arm, essa metodologia possibilita que o Metis analise repositórios completos, arquivos isolados, pull requests ou alterações recentes no código, entregando até 10 vezes mais taxa de verdadeiros positivos e cerca de 50% menos falsos positivos em comparação com as melhores ferramentas estáticas atuais.

Benefícios práticos para equipes de desenvolvimento

• Redução de falsos positivos: diminui o esforço desperdiçado em análises incorretas, permitindo foco nas vulnerabilidades reais;
• Explicações em linguagem natural: facilita o entendimento do problema e acelera a correção;
• Compatibilidade e extensibilidade: suporta qualquer LLM compatível com OpenAI e múltiplas linguagens como C, C++, Python, Go, TypeScript, Rust, entre outras;
• Integração com ferramentas SAST externas: pode validar e reduzir falsos positivos de outras soluções;
• Arquitetura plugin: possibilita a extensão para novos modelos, linguagens e prompts personalizados.

Disponibilidade e uso do Metis

O Metis está disponível gratuitamente no GitHub sob licença Apache 2.0, acessível em https://github.com/arm/metis. A configuração do framework é flexível, suportando implantações com Ollama e vLLM, configuradas via arquivo metis.yaml. Por exemplo, para utilizar o Llama 3.1 com Ollama localmente, a configuração deve incluir:

llm_provider:
  name: "ollama"
  base_url: "http://localhost:11434/v1"
  model: "llama3.1:8b"
  code_embedding_model: "nomic-embed-text:v1.5"
  docs_embedding_model: "nomic-embed-text:v1.5"

Para implantações com vLLM, a Arm recomenda usar o LiteLLM como roteador para coordenar múltiplas instâncias do modelo, otimizando o processamento.

Atualmente, o foco do Metis é a análise de vulnerabilidades em sistemas de software, mas a Arm já trabalha para expandir o suporte à verificação de vulnerabilidades em hardware.

Internamente, a Arm já monitora mais de 130 projetos de software com o Metis, confirmando sua eficácia e escalabilidade.

Impacto esperado e próximos passos

Com a liberação do Metis, a Arm oferece uma ferramenta poderosa para equipes de desenvolvimento e segurança, que buscam aumentar a precisão na identificação de vulnerabilidades e reduzir o tempo gasto com falsos alarmes. O uso de IA agentic com explicações detalhadas em linguagem natural promete acelerar a análise e correção, elevando a segurança dos sistemas.

Links úteis

• Repositório oficial do Metis no GitHub
• Minibooks e recursos gratuitos da InfoQ
• Certificação Online InfoQ em Engenharia de IA