本文针对代码语言模型（CodeLMs）中的自然后门漏洞进行了深入的实证研究。自然后门是指模型在正常训练过程中无意习得的后门行为，与通过数据投毒注入的后门不同，其产生机制与模型内部表征有关。研究覆盖了多种模型架构（如GPT、BERT变体）和代码智能任务（如代码补全、缺陷检测、代码翻译），在44个场景下系统性地评估了自然后门的存在性，结果表明自然后门在CodeLMs中普遍且固有。作者从模型层面和参数层面揭示了自然后门与注入后门的差异：前者往往与更多参数相关且分布更散。进一步分析了自然后门在数据集、模型架构和共享知识上的可迁移性，发现它们能在不同任务间迁移。成因分析从训练数据（如数据中的隐性偏差）和训练过程（如过拟合）两方面展开。评估了现有防御技术（包括预训练、训练中、训练后防御）对自然后门的缓解效果，发现多数防御效果有限。最后提出了ScanNBT检测方法，通过特征分析和异常模式识别来增强对自然后门的检测能力。该研究有助于理解CodeLMs的安全隐患，为开发更安全的代码模型提供指导。适合安全研究人员、AI安全工程师、代码智能开发者阅读。

本研究针对漏洞修复提交（VFC）的自动化检测问题进行了系统性的实证评估。背景是：安全补丁部署的及时性至关重要，但官方漏洞建议库（advisory databases）平均比补丁发布延迟25天，且许多修复从未被收录为建议。当前该领域存在超过20个分散的数据集和评估方法，缺乏统一基准。本文构建了一个统一框架，整合了超过18万个提交，对基于代码语言模型的VFC检测进行了大规模实验（180余次），模型参数规模从1.25亿到140亿不等。关键发现包括：（1）仅凭代码变更，模型未能习得可迁移的安全相关代码理解能力；（2）当提交消息（commit messages）可用时，模型注意力几乎完全集中于此，而非代码变更本身；（3）移除提交消息后，即使通过过程内语义上下文丰富diff，注意力分析仍显示模型关注点未转向代码变更；（4）按项目分组的分层评估显示性能比随机分割下降约17%；（5）在聚合数据集上进行时间分割因底层项目分布的组合偏移而不可靠；（6）在0.5%的假阳性率下，所有微调后的纯代码模型漏检超过93%的漏洞。更大规模、更多样化的训练数据或生成式方法虽有初步改进，但未能解决根本局限。作者公开了统一框架和评估套件以支持未来研究。