在软件安全维护中，准确识别与已披露CVE对应的漏洞修复提交至关重要，但在包含数百万次提交的大型代码仓库中，这仍是一项艰巨挑战。现有自动化方法，包括传统机器学习技术和近期基于大语言模型的方法，往往难以在精度与召回率之间取得良好平衡。这些方法通常在随机采样的提交上进行评估，这大大低估了真实场景的难度——在真实场景中，候选提交本身已具有安全相关性且高度相似。

为此，研究团队提出了Favia，一个基于代理的取证框架，用于漏洞修复识别。该框架结合了可扩展的候选排序与深度、迭代的语义推理。Favia首先采用高效的排序阶段来缩小提交的搜索范围。随后，使用一个基于ReAct范式的大语言模型代理对每个提交进行严格评估。通过为代理提供提交前的代码仓库作为环境，并配备专用工具，代理能够尝试定位易受攻击的组件、浏览代码库，并在代码变更与漏洞根本原因之间建立因果关联。

这种证据驱动的过程使得Favia能够稳健地识别那些间接、涉及多文件或非平凡的修复，这些修复是单次扫描或基于相似性的方法所难以发现的。研究团队在一个大规模数据集上对Favia进行了评估，该数据集包含来自大量真实世界仓库的提交。评估表明，在现实的候选提交选择场景下，Favia持续优于最先进的传统方法和基于大语言模型的基线方法，实现了最强的精度-召回率权衡和最高的F1分数。该框架为大规模软件仓库中的漏洞修复取证分析提供了新的有效解决方案。