同行评议水太深 现代出版系统漏洞亟待填补
图片来源:Dale Edwin Murray
大部分杂志编辑都知道,邀请一位忙碌的研究人员评议文章有多困难。这也是《酶抑制和药物化学杂志》编辑误让作者——当时就职于韩国东国大学的药用植物研究人员Hyung-In Moon——评审自己文章的原因。
这些评审可能本身并不会受到关注:最有利的是一些有关如何提高论文水平的建议。不同寻常的是他们要多快完成这项工作:通常在24小时内。这有点太快了,上述期刊的主编Claudiu Supuran开始有所怀疑。
2012年,他遇到Moon,后者已经承认之所以评审速度如此快,是因为他撰写了其中的一些内容。进行欺诈并不困难。英国伦敦英富曼集团旗下的《酶抑制和药物化学杂志》和其他几本发行物都邀请作者为自己的文章推荐评议者。因此,Moon提供了一些名字,有的是真正的科学家,但也有些是假名,他们伪造了邮件地址,使得邮件能直接发到Moon及其同事那里。Moon的供述致使英富曼集团旗下期刊的28篇文章被撤销,一名编辑辞职。
这并非孤立案件。在过去2年里,期刊被迫撤销了110多篇论文,其中至少6篇是因为同行评议问题。这些案例的共同点是,研究人员利用出版商计算机系统的缺陷,欺骗编辑接受他们自己审稿的文章。身陷丑闻的包括出版业巨头爱思唯尔、斯普林格、泰勒与弗兰西斯、英富曼、SAGE和威利数据库等。这些安全漏洞甚至让研究人员极易受到身份盗窃等问题的影响。“全世界成千上万学者使用的软件实际上是可怕的。”荷兰奈梅亨马普学会语言心理研究所语言学家Mark Dingemanse说。他也使用这些程序出版和评议论文。
观察者认为,应当改变编辑为评审者分配论文的方式,尤其是终止作者推荐评审者。Moon也认为编辑应该防范像他这样的人。他在2012年8月表示:“作者当然会向朋友寻求帮助,但编辑应当检查这些人不会来自相同的单位或是以前论文的共同作者。”
同行评议链
Moon案例并非近年来最令人惊讶的同行评议丑闻。2013年5月,时任《振动与控制杂志》主编Ali Nayfeh收到一些麻烦信息。向该期刊递交论文的一位作者告诉Nayfeh,他收到了两个自称该文章评议者的人的邮件。评议者一般不能直接与作者联系,而且他们使用的是一般的谷歌邮箱,而非学术机构的专门邮箱。
Nayfeh向该杂志的主办者SAGE上报了该问题。这导致了为期14个月的调查,由来自SAGE编辑部、法律部和产品部的20位员工参与。结果显示,这些谷歌邮箱都与汤森路透的ScholarOne有关联,这是SAGE和英富曼等若干出版者使用的出版物管理系统。
SAGE发言人Camille Gamboa指出,编辑能够追踪每篇论文,了解这些账户背后的人是作者还是评审者。他们还检查了评审文案、作者推荐的评审者的详细信息、参考文献和评议的转回时间(一些只有几分钟)。这帮助调查者进一步搜寻可疑账号,他们最终发现了130个账号。
在研究了可疑名单后,SAGE调查者发现异常比例的作者既是评议者也彼此引用。最后,60篇文章被发现存在同行评议贿赂问题。“基于这些发现,我们希望在联系作者和评议者前,能确保我们尽可能认真地调查了所有的途径。”Gamboa说。
尘埃落定后,结果证明,身处这个关系环中央的是一个名为Peter Chen的作者,那时,他是中国台湾国立屏东教育大学(NPUE)的一名工程师,他几乎是所有问题论文的合作者。Gamboa表示,在收到来自Chen的“一系列不满意回应”后,SAGE联系了NPUE,提议共同调查Chen的文章。2014年2月,Chen辞职。
5月,Nayfeh离开该期刊,SAGE通知60篇受丑闻影响的文章的所有作者,论文可能会被撤销。Chen未接受采访,但有消息称他曾发布声明,宣布单方面承担同行评议和引用关系环的所有责任。
密码漏洞
Moon和Chen都利用了ScholarOne自动处理的一个特点。当评议者被邀请读一篇文章时,他们会收到一封包含登录信息的邮件。如果与伪造的邮件地址进行通讯,无论利用之前提交的哪个名字,接收者都能登录该系统,并且不需要额外的身份验证。汤森路透公司产品和市场策略副主席Jasper Simons表示,ScholarOne是一个备受尊敬的同行评议体系,而且邀请合格评议者是期刊和编辑的职责。
自然出版集团(NPG)拥有许多使用ScholarOne的期刊,但《自然》杂志和自然子刊等使用eJournalPress研发的不同系统。《自然》执行主编、NPG作者和评议服务主管Vronique Kiermer表示,NPG似乎不会成为这样的关系环的受害者。
但ScholarOne并非唯一存在缺陷的出版系统。目前,不同出版商使用许多不同的出版系统。例如,斯普林格和科学公共图书馆等许多出版商使用“编辑管理者”。美国科学促进会旗下的《科学》《科学—转化医学》《科学—信号学》使用其内部开发的系统,但其开放获取刊物《科学进展》也使用“编辑管理者”。爱思唯尔使用的则是“爱思唯尔编辑系统”。
“编辑管理者”的主要问题是其密码管理方式。当使用者忘记密码时,系统会为他们发送纯文本邮件提示。以《科学公共图书馆—综合》为例,在需要评审一篇新文章时,每当使用者需要登录时,系统会为他们发送密码。谷歌等大部分现代网页服务都会将密码隐藏在加密层下,以避免它们被拦截。这也是使用者一旦忘记就需要重置密码的原因,同时他们还需要以其他方式附上身份验证信息。
安全漏洞的危害非常大。因为人们通常习惯在不同场合使用相同或类似的密码,发送密码的邮件会给黑客机会,不仅破坏研究记录,还能进行其他不法行为。
使用“编辑管理者”发表了许多论文的Dingemanse表示,“我很惊讶于他们不能制作一个安全的系统。”
技术难以解决社会问题
松懈的密码保护导致了许多缺口。2012年,爱思唯尔期刊《光学与激光技术》撤销了11篇论文,原因是不明身份者获得了编辑的用户信息,将这些论文分配了虚假评议账号。不过,与黑客无关的被撤销论文的作者获得了重新提交论文的机会。
爱思唯尔已经采取措施,避免评议欺诈行为,包括实施了一项整合旗下100本期刊账号的试验项目。爱思唯尔发言人Tom Reller表示,这将减少系统内的账户数量,有助于发现哪些是欺骗性账户。如果项目成功,在2015年年初,整合工作将推广到旗下所有期刊。
此外,密码将不再被纳入编辑系统发送的大部分邮件里。而且,为了核查评议者身份,该系统目前在许多点上结合了公开研究人员和投稿者身份(ORCID)。ORCID识别码——每位研究人员被分配到特定的数字——被设计能通过其所有出版物,追踪研究人员,即使他们更换了单位。
ScholarOne也允许集成ORCID,但主要由每个期刊自己判断如何使用。但Gamboa表示,没有足够的科学家采用该系统。另外,还有一个问题:“不幸的是,跟其他的在线验证系统一样,ORCID也为不道德操作敞开了大门。”Gamboa说。
这是老生常谈。“当你让这个系统更具技术性和更自动化,便有更多的方法能入侵它。”哈佛大学法学院伯克曼互联网和社会中心计算机安全专家Bruce Schneier说,“没有技术能解决社会问题。”
最终,编辑和出版商应该提高警惕,尤其是与潜在评审者联系时更应当小心。认真地检查邮件地址是检测假冒者的一种方法:谷歌等非机构专用邮箱就是一种危险信号。
但筛检工作仍非常困难,期刊只能坚持有一位是编辑选择和邀请的独立评审者。《国际骨质疏松》期刊主编Robert Lindsay提到,在他见过的最严重欺诈事件里,一位作者推荐的评审者的名与她自己的名相同,但姓不同。
后来,调查发现,这个姓是该作者母亲的姓——她推荐自己评审自己的论文。“我不认为她能再次向我们投送文章。”Lindsay说。
官方微信 | 人民微博 | 官方微博 |