同行评议水太深 填补出版系统漏洞成当务之急

大多数杂志编辑都知道邀请一位忙碌的研究员来评论这篇文章有多难。这也是为什么《酶抑制和药物化学杂志》的编辑错误地让作者，当时在东郭大学工作的药用植物研究员Hyung-in Moon评论他的文章。

这些评论可能不会被自己注意到:最有益的是关于如何提高论文水平的一些建议。不同寻常的是他们完成工作的速度有多快:通常在24小时内。这有点太快了，上述杂志的主编克劳迪乌·苏普兰开始怀疑了。

2012年，他遇到了穆恩，穆恩承认评论之所以这么快是因为他写了一些内容。欺诈并不难。《酶抑制和药物化学杂志》和英国伦敦英富曼集团旗下的其他几份出版物邀请作者推荐他们文章的评论者。因此，月亮提供了一些名字，其中一些是真正的科学家，但其他的是假名。他们伪造了电子邮件地址，这样电子邮件就可以直接发送给穆恩和他的同事。穆恩的声明导致英国菲尔曼集团旗下期刊的28篇文章被撤销，一名编辑辞职。

这不是一个孤立的案例。在过去的两年里，该杂志*取消了110多篇论文，其中至少有6篇是同行评议。这些案例的共同点是，研究人员利用出版商计算机系统的缺陷欺骗编辑接受他们自己评论的文章。卷入丑闻的有出版巨头埃尔塞维尔、斯普林格、泰勒和弗朗西斯、英富曼、塞吉和威利数据库。这些安全漏洞甚至使研究人员容易受到身份盗窃和其他问题的攻击。"全世界成千上万的学者使用的软件实际上很糟糕。"荷兰尼姆的马克斯·普朗克研究所语言心理学研究所的语言学家马克·丁格曼塞说。他也使用这些程序来发表和评论论文。

观察家认为，编辑将论文分配给审稿人的方式应该改变，尤其是结束作者对审稿人的推荐。穆恩还认为编辑应该提防像他这样的人。他在2012年8月表示:“当然，作者会向朋友寻求帮助，但编辑应该核实这些人不是来自同一个单位，也不是以前论文的共同作者。”

同行评议链

月亮事件并不是近年来最令人惊讶的同行评议丑闻。2013年5月，时任《振动与控制》杂志主编的阿里·纳菲收到了一些棘手的信息。一位向《华尔街日报》提交论文的作者告诉纳菲，他收到了两个自称是文章评论者的人的电子邮件。评论员通常不能直接联系作者，他们使用普通的谷歌邮箱，而不是学术机构的专业邮箱。

Nayfeh向杂志的组织者SAGE报告了这个问题。这导致了一项为期14个月的调查，涉及SAGE编辑、法律和产品部门的20名员工。结果显示，这些谷歌邮箱都链接到汤森路透(Townsend Reuters)的ScholarOne，这是一个由SAGE和Infuman等多家出版商使用的出版管理系统。

SAGE发言人卡米尔·甘博亚指出，编辑可以追踪每一篇论文，看看这些报道背后的人是作者还是评论者。他们还检查了评论副本、作者推荐的评论者的详细信息、参考文献和评论的周转时间(有些只花了几分钟)。这有助于调查人员进一步搜索可疑账户，最终他们找到了130个账户。

在研究了可疑列表后，SAGE调查人员发现异常比例的作者既是审阅者又是交叉引用者。最后，发现60篇文章存在同行评议贿赂问题。“基于这些发现，我们希望在联系作者和评论者之前，我们能确保尽可能仔细地检查了所有的途径。”甘博亚说。

尘埃落定后，在这个关系圈的中间，出现了一位名叫陈品山的作者，他是中国*屏东教育大学(NPUE)的工程师，几乎所有的问题论文都是他的合作者。甘博亚表示，在收到陈“一系列不满意的回复”后，SAGE联系了，并提议共同调查陈的文章。陈于二零一四年二月辞任。

今年5月，纳菲离开了《华尔街日报》，SAGE通知所有受丑闻影响的60篇文章的作者，这些文章可能会被撤销。陈没有接受采访，但据报道，他已发表声明宣布，他将单方面承担所有的责任，同行审查和参考的关系环。

密码漏洞

穆恩和陈都利用了斯科拉里的自动处理功能。当评论者被邀请阅读一篇文章时，他们会收到一封包含登录信息的电子邮件。如果使用伪造的电子邮件地址进行通信，无论之前提交的是哪一个名称，接收者都可以登录系统，而无需额外的身份验证。汤森路透产品和市场战略副总裁贾斯帕·西蒙斯(Jasper Simons)表示，ScholarOne是一个备受尊敬的同行评审系统，邀请合格的评审员是期刊和编辑的责任。

自然出版集团(NPG)有许多期刊使用学术期刊，但《自然》杂志和《自然》子期刊使用eJournalPress开发的不同系统。《自然》杂志的执行编辑、NPG作家和评论服务中心主任韦罗尼克·基尔默说，NPG似乎不是这种关系的受害者。

然而，斯科拉里不是唯一有缺陷的出版系统。目前，不同的出版商使用许多不同的出版系统。例如，许多出版商如斯普林格和公共科学图书馆使用“编辑经理”。隶属于美国科学促进协会的科学、科学转化医学和科学信号使用内部开发的系统，但其公开出版物《科学进步》也使用“编辑经理”。爱思唯尔使用“爱思唯尔编辑系统”

“编辑管理器”的主要问题是它的密码管理模式。当用户忘记密码时，系统会给他们发送一个纯文本的电子邮件提示。以“公共科学图书馆——综合”为例。当一篇新文章需要审查时，系统会在用户需要登录时向他们发送一个密码。大多数像谷歌这样的现代网络服务都在加密层下隐藏密码，以防止被截获。这也是为什么用户需要在忘记密码时重置密码，并且他们还需要以其他方式附加身份验证信息。

安全漏洞非常危险。因为人们通常习惯于在不同的场合使用相同或相似的密码，所以发送密码电子邮件不仅会给黑客破坏研究记录的机会，还会进行其他非法行为。

丁格曼塞用“编辑经理”发表了许多论文，他说，“我很惊讶他们不能建立一个安全的系统。”

技术难以解决社会问题

松散的密码保护导致了许多漏洞。2012年，爱思唯尔杂志《光学与激光技术》取消了11篇论文，因为身份不明的人获得了编辑过的用户信息，并给这些论文分配了虚假的评估账户。然而，被撤销论文的作者与黑客无关，他有机会重新提交论文。

Elsevier已采取措施避免审查欺诈行为，包括整合其100种期刊账户的试点项目。爱思唯尔的发言人汤姆·瑞勒(Tom Reller)表示，这将减少系统中的账户数量，有助于识别欺诈账户。如果项目成功，集成将在2015年初扩展到所有期刊。

此外，密码将不再包含在编辑系统发送的大多数电子邮件中。此外，为了验证审查者的身份，该系统目前在许多点上结合了开放研究员和贡献者身份(ORCID)。ORCID标识——每个研究人员都被分配了一个特定的号码——被设计来跟踪研究人员通过它的所有出版物，即使他们改变了单位。

ScholarOne也允许ORCID被集成，但是主要是由每个期刊来决定如何使用它。但是甘博亚说没有足够的科学家采用这个系统。此外，还有另一个问题:“不幸的是，像其他在线验证系统一样，ORCID也为不道德的操作打开了大门。”甘博亚说。

这是一句老话。"当你使这个系统更加技术化和自动化时，就有更多的方法来入侵它."哈佛法学院伯克曼互联网和社会中心的计算机安全专家布鲁斯·施奈尔说，“没有任何技术可以解决社会问题。”

最后，编辑和出版商应该更加警惕，尤其是在联系潜在的评论者时。仔细检查电子邮件地址是检测伪造者的一种方法:像谷歌这样的非机构邮箱是一个危险信号。

然而，筛选工作仍然非常困难。期刊只能坚持由编辑选择和邀请独立的审稿人。《国际骨质疏松杂志》的主编罗伯特·林德森提到，在他所见过的最严重的欺诈中，一位作者推荐了一位名字相同但姓氏不同的评论者。

后来，调查发现这个姓是作者母亲的姓——她建议自己复习论文。"我认为她不能再给我们发一篇文章了。"林赛说。