哎呀!大多数arXiv论文包含了本不应分享的信息
一些使用LaTeX排版的研究人员在不知情的情况下将私人信息公开。图片来源:Tom Houghton/ Nature 一项新的研究发现,近300万份在arXiv预印本服务器上可获取的论文几乎都包含了作者本不想分享的细节。这项研究在4月上传至arXiv,并于5月在加利福尼亚州旧金山的电气和电子工程师协会安全与隐私研讨会上进行展示,分析了截止至2025年12月发布的约270万篇文章,占预印本的93%。研究发现,88%的包含LaTeX源文件的投稿中含有某种形式的隐藏信息,包括合著者之间的争论和承认文本中的弱点的待办事项列表,以及密码、可能揭示研究人员住址的GPS坐标和应用程序编程接口(API)密钥——类似于程序员密码的字符字符串。“我们在论文中报告的内容真的只是冰山一角,”德国亚琛工业大学的安全与隐私研究员、研究第一作者Jan Pennekamp表示。每篇预印件可以有多个版本,所有版本都在线,而且团队统计了1200万个需要单独检查的附属或“悬挂”文件,以全面评估数据泄露的程度,Pennekamp解释道。 arXiv是一个特别受物理和计算科学欢迎的预印本库。它成立于1991年,要求作者上传用LaTeX编写的手稿所需的LaTeX源文件,并在PDF旁边公开。但由于LaTeX像代码一样工作,它也支持评论:作者可以阅读但不出现在最终文档中的行。“绝大多数研究人员只关心PDF,”葡萄牙欧埃拉斯António Xavier化学与生物技术研究所的生物物理学家Ricardo Henriques说,他将自己的论文上传至arXiv。“这也使得大多数研究人员意识不到在这些LaTeX文件中留下评论的潜在影响。” Pennekamp和他的同事检查了arXiv投稿的三个要素:不需要用于生成论文的悬挂文件;图像和PDF中的嵌入元数据;以及LaTeX源代码中的内容,比如评论。分析还发现了合著者之间的私人对话,包括对研究竞争对手的不当、卑劣或尴尬评论和承认未在已发布文本中提及而未解决的弱点的待办事项。其他研究人员也记录了arXiv数据库中的数据泄露。今年1月,来自雷克雅未克大学和列支敦士登大学的计算机科学家Giovanni Apruzzese,以及来自法国索非亚·安提波利斯的阿尔卑尔海岸大学Inria中心的网络安全研究人员Aurore Fass,报告了他们对60万份预印本的分析,发现其中27%包含“不需要用于生成PDF的残余数据”。对其中200份预印本的详细分析显示,20%含有“未披露的研究细节或贬损语句”,包括这样的评论:“这是什么意思?” 去年10月,布达佩斯、奥斯陆和阿布扎比的研究人员报告使用大型语言模型扫描了大约10万份arXiv投稿,发现约10%中存在“敏感披露”。其中包括社会安全号码、登录凭证和私人云存储链接。北卡罗来纳州立大学计算机科学家Bradley Reaves及其团队在GitHub源代码库中记录了类似的凭证泄露。他表示,arXiv的问题是独特的。在GitHub上,开发人员知道他们的代码库是公共的;当凭证泄露时,错误发生在他们知道是可见的空间里。但大多数研究人员并不认为arXiv上的源文件是公共文档,而泄露的许多内容不是凭证,而是私人工作笔记。Reaves表示,“arXiv在某种程度上打破了这种心理模型”。Apruzzese表示同意。随着社交媒体放大任何发现,源文件中挖掘出的单个尴尬评论可能会迅速传播。“这些事情可能会毁掉某些人的生活,”他说。除了评论,Pennekamp和他的同事还发现了265个API密钥,4个私钥和171个密码。他们发现7326份提交中含有带GPS标签的图像,并且在235个案例中,坐标跨越了可通勤的距离。对这十个案例的随机检查确认其中九个同时指向一个研究大楼和一个住宅地址,表明作者们意外地分享了他们的住宅位置。这些研究人员发现并手动验证了699个Google文档链接,点击即可编辑,暴露了同行评审、反驳
本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。
☕请我喝杯咖啡