独家丨ICLR“当场裸奔”，审稿人被一键开盒，OpenReview爆出史上最大双盲翻车现场

ICLR 2026 的 OpenReview 昨晚直接翻车，堪称学术圈版的「当场裸奔」。因为后台权限配置出现致命失误，只要把投稿的内部 ID 填进一段特定 API 链接，系统就会乖乖把这篇论文绑定的 reviewer 和 AC 的实名 profile 统统吐出来：姓名、邮箱、单位、履历，一应俱全。

原本应该被层层加密、深锁在后台的双盲评审信息，在短短数小时内被整个社区“无门槛透明化”，双盲制度形同纸糊——漏洞被封之前，谁给了几分、写了什么评语，从技术上讲都已经不算秘密。

那串“神秘代码”也开始在群里流传：

https://api2.openreview.net/profiles/search?group=NeurIPS.cc/2025/Conference/Submission{}/Reviewer_{}

https://api2.openreview.net/profiles/search?group=NeurIPS.cc/2025/Conference/Submission{}/Area_Chair_{}

把花括号里的两个数字分别换成 paper ID 和审稿人编号，reviewer 的真实身份瞬间现形。OpenReview 这一刻终于实现了它名字的最高境界——真的 open review。

更离谱的是后续剧情。各大群瞬间变成“ICLR 2026 开盒晚会”，大家对号入座的速度比刷朋友圈还快：有人查到给自己打 2 分的 reviewer，是前几天还一起喝酒聊灵感的老友。

今年 ICLR 的缩写被现场瓜民重新命名——I Can Locate Reviewer。往年靠猜，今年靠查；谁抬你一手、谁补你一刀，系统亲自把凶器、指纹和 CCTV 全套摆在你面前。

更劲爆的是，今天凌晨的进一步实测显示——这事儿压根不止 ICLR。只要把 API 链接里的会议字段和年份替换掉，NeurIPS、ICML、ACL 等一众顶会，同样会乖乖返回实名评审信息。有人随手把ICLR.cc/2026改成NeurIPS.cc/2025，结果一秒跑出完整审稿人列表；甚至把年份改回 2024，也依然能“开盒成功”

这意味着事情的性质不是某个会议的粗心，而是 OpenReview 权限底层出现了系统级漏洞——一次跨会议、跨年份的“群体性双盲坍塌”。

虽然官方已经在今天早上紧急修了这个 Bug，但为时已晚：已经有人在漏洞关闭前成功把整份名单全量爬了下来。

双盲没了，不过今年的热闹，也是真真切切“看得见”了。

欢迎扫码加群参与讨论

我们相信认知能够跨越阶层，

致力于为年轻人提供高质量的科技和财经内容。

稿件经采用可获邀进入Z Finance内部社群，优秀者将成为签约作者，00后更有机会成为Z Finance的早期共创成员。

我们正在招募新一期的实习生