论文PDF看起来干干净净,背后的“工作目录”却可能还留着密码、家庭定位和合作者私聊。许多论文用LaTeX编写;作者上传源文件后,arXiv据此生成PDF,但代码注释、图片元数据和多余文件不会自动消失。公开源文件因此像交付成品时,顺手把带批注的草稿箱也放上了网。
据《Nature》报道,一项4月上传至arXiv、5月在IEEE安全与隐私研讨会展示的研究,分析了截至2025年12月约270万篇论文,覆盖库中预印本的93%。在含LaTeX源文件的投稿里,88%带有某种隐藏信息,包括待办事项、未公开的研究弱点、合作者争论、GPS坐标,以及API密钥——程序员用来访问服务、作用近似密码的字符串。团队还发现约1200万个需逐一检查的附带或多余文件,因此研究者称目前结果只是“冰山一角”。这项工作提醒科研开放流程:发布前不能只检查PDF,还要像清除照片定位一样,扫描源文件、注释和元数据中的非必要痕迹。