独家丨ICLR“当场裸奔”，审稿人被一键开盒，OpenReview爆出史上最大双盲翻车现场

陪着寂寞看孤单

ICLR 2026 的 OpenReview 昨晚直接翻车，堪称学术圈版的「当场裸奔」。因为后台权限配置出现致命失误，只要把投稿的内部 ID 填进一段特定 API 链接，系统就会乖乖把这篇论文绑定的 reviewer 和 AC 的实名 profile 统统吐出来：姓名、邮箱、单位、履历，一应俱全。

原本应该被层层加密、深锁在后台的双盲评审信息，在短短数小时内被整个社区“无门槛透明化”，双盲制度形同纸糊——漏洞被封之前，谁给了几分、写了什么评语，从技术上讲都已经不算秘密。

那串“神秘代码”也开始在群里流传：

https://api2.openreview.net/profiles/search?group=NeurIPS.cc/2025/Conference/Submission{}/Reviewer_{}

https://api2.openreview.net/profiles/search?group=NeurIPS.cc/2025/Conference/Submission{}/Area_Chair_{}

把花括号里的两个数字分别换成 paper ID 和审稿人编号，reviewer 的真实身份瞬间现形。OpenReview 这一刻终于实现了它名字的最高境界——真的 open review。

更离谱的是后续剧情。各大群瞬间变成“ICLR 2026 开盒晚会”，大家对号入座的速度比刷朋友圈还快：有人查到给自己打 2 分的 reviewer，是前几天还一起喝酒聊灵感的老友。

今年 ICLR 的缩写被现场瓜民重新命名——I Can Locate Reviewer。往年靠猜，今年靠查；谁抬你一手、谁补你一刀，系统亲自把凶器、指纹和 CCTV 全套摆在你面前。

更劲爆的是，今天凌晨的进一步实测显示——这事儿压根不止 ICLR。只要把 API 链接里的会议字段和年份替换掉，NeurIPS、ICML、ACL 等一众顶会，同样会乖乖返回实名评审信息。有人随手把 

ICLR.cc/2026

 改成 

NeurIPS.cc/2025

，结果一秒跑出完整审稿人列表；甚至把年份改回 2024，也依然能“开盒成功”

这意味着事情的性质不是某个会议的粗心，而是 OpenReview 权限底层出现了系统级漏洞——一次跨会议、跨年份的“群体性双盲坍塌”。

虽然官方已经在今天早上紧急修了这个 Bug，但为时已晚：

已经有人在漏洞关闭前成功把整份名单全量爬了下来。

双盲没了，不过今年的热闹，也是真真切切“看得见”了。

dsfgdsg

我去年投ICLR时还庆幸双盲机制保护隐私，结果这系统漏洞让审稿人信息跟透明似的，连老朋友给我打2分都能对上号，太离谱了

com2

谢谢楼主分享！

yzszh64

感谢分享。