ICLR 2026的OpenReview昨晚直接翻车，堪称学术圈版的「当场裸奔」。因为后台权限配置出现致命失误，只要把投稿的内部ID填进一段特定API链接，系统就会乖乖把这篇论文绑定的reviewer和AC的实名profile统统吐出来：姓名、邮箱、单位、履历，一应俱全。

原本应该被层层加密、深锁在后台的双盲评审信息，在短短数小时内被整个社区“无门槛透明化”，双盲制度形同纸糊——漏洞被封之前，谁给了几分、写了什么评语，从技术上讲都已经不算秘密。

那串“神秘代码”也开始在群里流传：

https://api2.openreview.net/profiles/search?group=NeurIPS.cc/2025/Conference/Submission{}/Reviewer_{}

https://api2.openreview.net/profiles/search?group=NeurIPS.cc/2025/Conference/Submission{}/Area_Chair_{}

把花括号里的两个数字分别换成paper ID和审稿人编号，reviewer的真实身份瞬间现形。OpenReview这一刻终于实现了它名字的最高境界——真的open review。

更离谱的是后续剧情。各大群瞬间变成“ICLR 2026开盒晚会”，大家对号入座的速度比刷朋友圈还快：有人查到给自己打2分的reviewer，是前几天还一起喝酒聊灵感的老友。

今年ICLR的缩写被现场瓜民重新命名——I Can Locate Reviewer。往年靠猜，今年靠查；谁抬你一手、谁补你一刀，系统亲自把凶器、指纹和CCTV全套摆在你面前。

更劲爆的是，今天凌晨的进一步实测显示——这事儿压根不止ICLR。只要把API链接里的会议字段和年份替换掉，NeurIPS、ICML、ACL等一众顶会，同样会乖乖返回实名评审信息。有人随手把

ICLR.cc/2026

改成

NeurIPS.cc/2025

，结果一秒跑出完整审稿人列表；甚至把年份改回2024，也依然能“开盒成功”

这意味着事情的性质不是某个会议的粗心，而是OpenReview权限底层出现了系统级漏洞——一次跨会议、跨年份的“群体性双盲坍塌”。

虽然官方已经在今天早上紧急修了这个Bug，但为时已晚： 已经有人在漏洞关闭前成功把整份名单全量爬了下来。

双盲没了，不过今年的热闹，也是真真切切“看得见”了。