近乎所有在 arXiv 預印本伺服器上可取得的近三百萬篇論文,都包含作者從未打算分享的細節,一項新研究發現。

這項研究於四月上傳至 arXiv,並於五月在加州舊金山舉行的電氣電子工程師學會安全與隱私研討會上發表,分析了截至 2025 年 12 月發布到該儲存庫的約 270 萬篇文章,佔預印本的 93%。研究發現,88% 包含 LaTeX 原始碼的投稿文件,都包含某種形式的隱藏資訊,從共同作者間的爭執、承認內文弱點的待辦事項清單,到密碼、可能洩漏研究者住家地址的 GPS 座標,以及作為程式設計師密碼的應用程式介面(API)金鑰。

「我們在論文中報告的,真的只是冰山一角,」德國亞琛工業大學(RWTH Aachen University)安全與隱私研究員、該研究第一作者 Jan Pennekamp 表示。每篇預印本可能有多個版本,所有版本都保留在線上,Pennekamp 解釋說,該團隊計算了 1200 萬個伴隨或「懸空」的文件,需要個別檢查才能完全評估數據洩漏的程度。

arXiv 是一個在物理和計算科學領域特別受歡迎的預印本儲存庫。它成立於 1991 年,要求使用 LaTeX(一種用於排版科學論文的標記語言)撰寫手稿的作者,將其 LaTeX 原始碼文件與 PDF 一併上傳並公開。但由於 LaTeX 的運作方式類似程式碼,它也支援註解:作者可以閱讀但不會出現在最終文件中的行。

「絕大多數研究人員只關心 PDF,」葡萄牙奧埃拉什(Oeiras)安東尼奧·薩維爾化學與生物技術學院(António Xavier Institute of Chemical and Biological Technology)的生物物理學家 Ricardo Henriques 表示,他自己也會將論文上傳到 arXiv。「這也讓大多數研究人員沒有意識到將註解留在 LaTeX 文件中的潛在影響。」

Pennekamp 和他的同事檢查了 arXiv 投稿的三個元素:不需要生成論文的懸空文件、嵌入圖像和 PDF 中的中繼資料,以及像 LaTeX 原始碼中的註解等內容。分析發現了共同作者之間的私人對話,包括對研究競爭對手的粗俗、不討喜或令人尷尬的評論,以及承認已發表文本中未提及但已解決的弱點的待辦事項筆記。

其他研究人員也記錄了 arXiv 儲存庫中的數據洩漏情況。一月,冰島大學(Reykjavik University)和列支敦斯登大學(University of Liechtenstein)的電腦科學家 Giovanni Apruzzese,以及法國蔚藍海岸大學(University of Côte d’Azur)Inria 中心(Inria Centre)的網路安全研究員 Aurore Fass,報告了他們對 60 萬篇預印本的分析,發現其中 27% 包含「殘留數據」,這些數據並非生成 PDF 所必需。對 200 篇此類預印本的詳細分析,發現其中 20% 包含「未披露的研究細節,或貶低性陳述」,包括「這到底是什麼意思?」這樣的註解。

去年十月,布達佩斯、奧斯陸和阿布達比的研究人員報告稱,他們使用大型語言模型掃描了約 10 萬篇 arXiv 投稿,發現其中約 10% 存在「敏感披露」。這些包括社會安全號碼、登入憑證和私人雲端儲存連結。

北卡羅來納州立大學(North Carolina State University)的電腦科學家 Bradley Reaves 和他的團隊,在 GitHub 原始碼儲存庫中記錄了類似的憑證洩漏形式。他說,arXiv 的問題有所不同。在 GitHub 上,開發人員知道他們的儲存庫是公開的;當憑證洩漏時,錯誤發生在他們知道可見的空間。但大多數研究人員並不認為 arXiv 上的原始碼文件是公開文件,而且洩漏的內容大多是私人工作筆記,而不是憑證。Reaves 說:「arXiv 這種做法打破了這種心理模型。」

Apruzzese 表示同意。隨著社群媒體放大了任何發現,從原始碼文件中挖掘出的單一令人尷尬的註解可能會病毒式傳播。「這些事情可能會毀了一些人的生活,」他說。

Pennekamp 和他的同事除了註解外,還發現了 265 個 API 金鑰、4 個私鑰和 171 個密碼。他們發現 7,326 篇投稿包含帶有 GPS 標籤的圖像,其中 235 個案例的座標涵蓋了可通勤的距離。對其中十個案例的隨機檢查證實,有九個案例精確定位了研究機構和住家地址,表明作者意外地分享了他們的家庭位置。研究人員發現並手動驗證了 699 個 Google Docs 連結,這些連結允許任何人編輯,暴露了同行評審、反駁意見和會議記錄。在 18 個案例中,連結指向了研究參與者的調查數據。「在某些情況下,很明顯這是 meant to be confidential,」Pennekamp 說。

作為負責任披露的一部分,研究人員聯繫了 2,660 位受影響的作者,其中 112 位回覆了後續調查。其中只有 41% 的人表示他們知道 arXiv 會發布原始碼。「arXiv 在網站上基本上是這樣說的,」Pennekamp 說,並補充說該網站提供了關於如何清理原始碼文件的「高階說明」,並且「這是作者的責任」。

提交前有幾種工具可以清理 LaTeX 原始碼文件。arXiv 本身推薦 arxiv_latex_cleaner,這是 Google 開源的用於清理註解和懸空文件的工具,具有簡單的命令列介面。Pennekamp 和他的團隊在他們的手稿中比較了現有的工具,並創建了一個名為 ALC-NG 的開源工具來填補感知到的差距。它透過追蹤編譯過程中實際使用的文件來識別不必要的文件,從圖像和 PDF 中剝離中繼資料,並偵測較簡單工具遺漏的隱藏註解。

或者,研究人員可以完全避免 LaTeX 工作流程。例如,Henriques 和他的團隊開發了 Rxiv-maker,這是一種讓研究人員可以使用比 LaTeX 更簡單的 Markdown 語言撰寫,並透過自動化的 LaTeX 管道生成可發布的 PDF 的工具。由於 LaTeX 是機器生成的,註解和協作工件永遠不會進入原始碼文件。

然而,一旦論文發布到 arXiv,清理選項就有限了。根據 Reaves 的說法,舊的原始碼文件將永久可存取,而像網際網路檔案館(Internet Archive)這樣的鏡像網站,即使是作者要求的移除請求也無效:「你無法撤回參與者數據……你無法收回另一位科學家說某篇論文是垃圾。」

在向《自然》(Nature)發表的聲明中,arXiv 的執行長、康乃爾大學(Cornell University)的電腦科學家 Ramin Zabih 表示:「一般來說,arXiv 無法確定作者提交的哪些材料可能包含敏感資訊。因此,作者有責任確保提交的材料可以發布。在開始提交過程時,作者會被告知:『任何人都可以查看和下載 arXiv.org 上發布的所有文章和原始碼文件。』」

隨著人工智慧工具(如大型語言模型 LLM)的威力日益增強,該警告將變得更加重要:幫助研究人員發現這些洩漏的工具,同樣可以輕易地幫助他人利用它們。「要發現這些東西,仍然像大海撈針一樣,」Pennekamp 說,「但隨著 LLM 變得越來越複雜,計算能力不斷提高,我認為這只是時間問題。」

研究:arXiv 論文竟藏大量作者不願公開的敏感資訊研究:arXiv 論文竟藏大量作者不願公開的敏感資訊研究:arXiv 論文竟藏大量作者不願公開的敏感資訊研究:arXiv 論文竟藏大量作者不願公開的敏感資訊研究:arXiv 論文竟藏大量作者不願公開的敏感資訊研究:arXiv 論文竟藏大量作者不願公開的敏感資訊