本研究针对漏洞修复提交（VFC）的自动化检测问题进行了系统性的实证评估。背景是：安全补丁部署的及时性至关重要，但官方漏洞建议库（advisory databases）平均比补丁发布延迟25天，且许多修复从未被收录为建议。当前该领域存在超过20个分散的数据集和评估方法，缺乏统一基准。本文构建了一个统一框架，整合了超过18万个提交，对基于代码语言模型的VFC检测进行了大规模实验（180余次），模型参数规模从1.25亿到140亿不等。关键发现包括：（1）仅凭代码变更，模型未能习得可迁移的安全相关代码理解能力；（2）当提交消息（commit messages）可用时，模型注意力几乎完全集中于此，而非代码变更本身；（3）移除提交消息后，即使通过过程内语义上下文丰富diff，注意力分析仍显示模型关注点未转向代码变更；（4）按项目分组的分层评估显示性能比随机分割下降约17%；（5）在聚合数据集上进行时间分割因底层项目分布的组合偏移而不可靠；（6）在0.5%的假阳性率下，所有微调后的纯代码模型漏检超过93%的漏洞。更大规模、更多样化的训练数据或生成式方法虽有初步改进，但未能解决根本局限。作者公开了统一框架和评估套件以支持未来研究。