ICLR 2026数据泄露事件深度复盘：AI审稿、人肉搜索与学术信任危机

高达21%的审稿意见被证实由AI生成！从「AI执笔，AI评议」到全网围观，一场技术漏洞撕开了学术殿堂的最后一道防线。本文深度复盘那疯狂的61分钟，还原AI顶会史上最荒诞的一夜。

2025年11月27日，恰逢感恩节。

但对于全球AI学术界，特别是那些向顶级会议ICLR 2026提交了论文的数万名研究者而言：

这一天，如同天崩地裂！

一场史无前例、堪称灾难级的「透明化」正在上演，这并非比喻，而是真正意义上的「隐私尽失」！

只需将投稿ID填入某个特定的API链接，就能瞬间获取该论文的所有作者、审稿人、领域主席（AC）的详细信息：

姓名、邮箱、所属机构、学术履历，甚至尚未正式发出的「拒稿」评语。

这或许，是AI顶会历史上最为疯狂的一夜！

延伸阅读：学术圈震动！ICLR「开盒」事件席卷全网，审稿人身份无处遁形

刚刚，ICLR 2026组委会针对此次安全事件发布了最新声明：超过1万篇论文的评审信息遭到泄露！

这一事件不仅严重干扰了本届评审的正常流程，也引发了学界对学术评审系统安全性的普遍担忧。

传播数据的始作俑者已被锁定，并被ICLR和OpenReview永久禁止进入；任何试图利用泄露数据进行串通的行为，其投稿将被直接拒之门外！

更为荒诞的还在后头

OpenReview，由于一个极其低级的API漏洞，亲手将「双盲评审」这块学术界的最后遮羞布彻底撕碎。

要知道，OpenReview承载着ICLR、NeurIPS、ICML等几乎所有AI顶会的论文评审工作！

但这还不是最令人瞠目的。

就在众人忙着「人肉」审稿人、围观热闹、甚至暗地发送邮件试图「疏通」之时，一家名为Pangram Labs的AI检测公司，借助此次泄露的数据，反向给学术界投下了一枚更重磅的炸弹：

在他们分析的ICLR 2026审稿意见中，竟有21%完全由AI生成。

超过半数的审稿意见，都留下了AI润色或参与的痕迹。

甚至出现了「AI撰写论文，AI评审论文，因AI幻觉而相互吹捧」的赛博闭环。

这已不仅仅是一次技术事故，而是学术界面临的最大信任危机。

复盘这场闹剧，让我们审视那个曾被奉若神明的「同行评审」制度，在2025年的今天，究竟腐朽到了何种地步。

那个代价高昂的「低级失误」

事件的起因，简单到令人难以置信。

先来了解一下OpenReview。

在AI学术圈，它的地位堪称基石。其初衷十分美好：透明、公开。它希望将评审过程从一个黑箱转变为社区公开讨论的平台。

但万万没想到，这种「开放」，在11月27日这一天，变成了「完全敞开」。

漏洞出在一个名为profiles/search的API接口上。

按照正常的软件工程逻辑，这类涉及用户敏感信息的接口，必须配备最严格的权限验证。

例如，我是作者张三，登录后只能看到自己投稿的信息。

我是审稿人李四，只能看到分配给我评审的论文，且在盲审阶段绝对不能知晓作者身份。

然而，OpenReview的后端似乎忽略了这一基本要求。

从技术角度讲，这属于BOLA（Broken Object Level Authorization，对象级授权失效）。

这是OWASP API安全列表中排名第一的漏洞类型，也是最「入门级」的错误之一。

攻击者只需构造一个特定的URL请求，修改group参数：

想查看某篇论文的作者？把参数改为Submission{paper_id}/Authors。

想查看某篇论文的审稿人？把参数改为Submission{paper_id}/Reviewer_{k}。

想了解谁是领域主席（AC）？改成Submission{paper_id}/Area_Chair_{k}。

无需高超的黑客技术。

无需复杂的渗透工具。

无需获取数据库的管理员密码。

这就好比你去住酒店，发现只要把房卡上的房间号「101」用笔涂改成「102」，就能刷开隔壁的房门。

黄金61分钟：从泄露到疯传

让我们将时间拨回那个疯狂的早晨。

根据ICLR官方后续发布的报告，我们可以还原出这惊心动魄的61分钟：

看起来处理速度很快对吧？从发现到修复，仅用了一小时。

但在互联网时代，一小时足以将整个ICLR 2026扒得一丝不挂。

就在这短短的60多分钟里，有人（无论出于恶意、好奇还是炫技）编写了脚本，疯狂爬取数据。

很快，一个包含超过10,000篇ICLR投稿论文（占总投稿量的45%）的详细数据集，开始在互联网的隐秘角落、Telegram群组、甚至公开的社交媒体上病毒式传播。

这不仅仅是一个Excel表格。

这是一张庞大的、错综复杂的「关系网络」。

谁是哪篇论文的作者？

谁给这篇论文打了3分（满分10分）？

谁在评论里冷嘲热讽？

谁又是那个看似「铁面无私」的AC？

一切都暴露无遗。

「ICLR = I Can Locate Reviewer」（我能定位审稿人）

学术圈的反应呈现出两极分化。

有人第一反应是恐慌。

设想一下，你是一位刚入职的年轻助理教授（AP），为了彰显学术严谨，你在审稿时对某位业界大牛的论文提出了尖锐批评，甚至给出了拒稿意见。

你当时心想：「反正是双盲，他不知道是我，我是为了科学的纯洁性把关。」

结果现在，大牛知道了你的身份。

你明年的基金申请谁来评审？

你今后还想在这个圈子里立足吗？

一位教授在Reddit上痛苦地反思：「许多我们只有在匿名保护下才能坦诚说出的批判性意见，现在成了悬在头顶的达摩克利斯之剑。」

有人第二反应是狂欢。

对于那些长期被「不负责任审稿人」困扰的作者而言，这简直是天降正义。

「终于知道是谁在胡说八道了！」

「原来那个说我缺乏创新的审稿人，自己连一篇顶会都没发过！」

「这就是现世报！」

在小红书、Twitter、Reddit上，一个新梗迅速诞生：

ICLR不再是International Conference on Learning Representations。

它的新名字叫：I Can Locate Reviewer（我能定位审稿人）。

这句玩笑背后，折射出学术界对现有评审机制积压已久的愤怒与无奈。

以下是网络上流传的大量梗图，充分说明了愤怒和无奈是此次事件背后的主旋律。

人肉搜索、贿赂与恐吓

如果事情只停留在「大家知道了彼此是谁」，最多也就是尴尬一阵子。

但人性往往经不起考验。

尤其是在顶会论文关乎毕业、求职、绿卡、晋升等巨大利益面前。

泄露事件发生后的24小时内，学术界的「黑暗森林」法则开始显现。

ICLR博客中披露的细节，读来令人不寒而栗，也深感无奈。

「我可以给你钱，只要你改分」

ICLR官方的声明中提到，随着名单的泄露，大量的串通行为开始浮出水面。

如何串通？手段极其直接，甚至粗暴。

直接联系：作者不再遮掩，直接给审稿人发邮件。「王教授/李博士，得知您是审稿人，能否高抬贵手？」

利益交换：「如果您这次放我一马，下次您的论文落在我手里，我也给您打满分。」这是一种心照不宣的「互保」。

金钱贿赂：ICLR的调查显示，甚至有第三方（既非作者也非审稿人）介入。这些人像秃鹫一样嗅到腐肉的味道，充当起「学术掮客」。他们联系审稿人，直接提供贿赂，只为换取一个高分。

这已不仅是简单的学术不端。

这是腐败，是犯罪行为。

报复与威胁：学术圈的「开盒」

比贿赂更可怕的，是报复。

有作者利用泄露的数据发现，给自己的论文打低分的审稿人，竟然是竞争对手实验室的成员。

而且，这位审稿人自己也投了一篇类似的论文。

为了让自己的论文更容易中，这位审稿人故意给竞争对手打低分，压低对方的评分。

这种「恶意差评」在匿名状态下很难被证实，只能靠猜。

但现在，证据确凿，IP、名字、机构，全都在表里。

更极端的情况出现了。

ICLR官方发现，有一个恶意的评论者，利用自动化脚本，在600多篇论文的评论区里，公开点名审稿人的身份。

「Reviewer 1是某某大学的某某。」、「Reviewer 2是某某公司的某某。」

这种行为无异于网络暴力。

一位审稿人可能因为给了一篇热门论文差评，而被狂热的粉丝或利益相关者「开盒」，个人信息被挂在网上，遭受各种骚扰和恐吓。

ICLR的「核按钮」

面对这种失控的局面，ICLR组委会不得不按下了「核按钮」。

为了止损，他们做出了一系列在学术界极其罕见、甚至堪称「壮士断腕」的决定：

冻结讨论：立即暂停审稿人与作者之间的互动。因为当下的每一句话，都可能带有场外的威胁或利诱。

全部重置：将所有论文重新分配给新的领域主席（AC）。这意味着之前的AC可能会因身份暴露而无法公正裁决，必须换人。

分数回滚：将所有审稿意见和分数回滚到漏洞爆发前的状态。任何在泄露期间修改的分数（无论是被收买后改高的，还是恶意改低的）全部作废。

极刑伺候：对于那些利用泄露数据进行联系、串通或骚扰的人，ICLR祭出了最严厉的惩罚——直接拒稿，并对涉事人员进行多学年的封杀，禁止投稿和参会。

这一套组合拳虽然暂时稳住了局面，但也造成了巨大的混乱。

很多AC抱怨，新的分配让他们需要在极短的时间内重新阅读几十篇论文，工作量剧增。

而且，由于无法查看之前的讨论，很多有价值的学术辩论也被迫中断了。

但ICLR别无选择。

如果不这么做，整个会议的公信力将荡然无存。

比泄密更可怕的真相

21%的「僵尸」评审

如果说身份泄露是「外忧」，那么Pangram Labs随后的报告，则查出了ICLR的「内患」。

Pangram Labs是一家专注于AI文本检测的公司。

在ICLR数据泄露的混乱中，其CEO Max Spero做出了一个大胆的决定：

既然数据都已外泄，不如拿来分析一番？

他们花了一整晚的时间，扫描了ICLR 2026的75,800条同行评审意见。

结果令人头皮发麻。这或许是AI历史上最讽刺的一幕。

根据Pangram Labs发布的分析报告，他们发现了以下惊人的事实：

ICLR 2026数据泄露事件发生后，该公司CEO Max Spero利用泄露的数据，在12小时内扫描了所有的19,490篇投稿论文和75,800条同行评审意见，并得出了你提到的这些具体统计数据。

这份报告的核心发现如下：

21%的审稿意见为全AI生成

超过50%的审稿意见有AI痕迹

1%(199篇)的投稿论文为全AI生成（离谱）

9%的投稿论文含大量AI内容

文章地址：https://www.pangram.com/blog/pangram-predicts-21-of-iclr-reviews-are-ai-generated?utm_source=chatgpt.com

这意味着，在代表着人类AI研究最高水平的ICLR殿堂中，有五分之一的裁判，根本就不是人类。

这是一场AI评审AI的荒诞剧。

作者用ChatGPT写论文。

审稿人用ChatGPT写评审意见。

最后由OpenReview的算法来分发。

人类在这个过程中，仿佛成了多余的「中间商」，只负责复制粘贴。

那些「一眼假」的审稿意见

如何发现审稿人是AI？

其实无需检测工具，很多人类作者早就察觉到不对劲。

Pangram Labs的报告指出，这些AI生成的评审意见通常具备以下特征，大家可以对照自己收到的意见：

空洞的漂亮话：充斥着「本文结构清晰」、「极具创新性」、「虽然但是」等万金油式的夸赞，但始终说不出具体好在哪。这通常被称为「Flattery」（阿谀奉承），是大语言模型（LLM）的通病。

幻觉引用：AI会一本正经地建议你引用某篇论文，给出作者、年份甚至页码。但你去Google Scholar一查，查无此文。这纯粹是AI在胡说八道。

车轱辘话：将摘要里的内容换种说法重复一遍，毫无深度洞察。

离奇的详细程度：比如对某个无关紧要的标点符号错误进行长篇大论的批评，却对核心算法的逻辑漏洞视而不见。

离谱的建议：有时AI会建议你去比较一些风马牛不相及的算法，仅仅因为它在训练数据里见过这两个词同时出现。

一位来自哥本哈根大学的教授Desmond Elliott分享了他的经历：他的学生收到一条评审意见，内容完全离题，甚至充满事实性错误。

学生怀疑是AI写的，一查，果然是全AI生成。

最讽刺的是，这条AI生成的评论，给了一个「Borderline」（模棱两可）的分数。

这种分数最让人难受，因为它既不拒绝也不接受，却极大地消耗了AC的注意力。

为什么审稿人要用AI？

难道这些审稿人毫无职业道德吗？

这不仅是道德问题，更是系统性崩溃的结果。

看一组数据：

ICLR 2024收到了约7,000篇投稿。

ICLR 2025收到了11,000篇。

而到了ICLR 2026，这个数字飙升到了19,490篇。

几乎是指数级的增长！

但是，合格的审稿人（通常是博士高年级学生、博士后、教授）的数量并没有指数级增长。

如果你是一名博士生，自己要写论文、做实验，还要面对毕业压力。突然，导师扔给你5篇ICLR论文让你帮忙审（这在学术界是公开的秘密，尽管违规）。或者系统直接分配给你8篇论文，要求你在两周内看完。

你会怎么办？

在「Publish or Perish」（不发表就出局）的高压下，审稿变成了一种没有任何报酬、还要耗费大量精力的「苦差事」。

此时，ChatGPT就像魔鬼的诱惑。

把PDF丢进去，输入Prompt：「请帮我写一段不少于500字的评审意见，语气要专业，指出3个缺点。」

几秒钟，任务完成。

这就是为什么21%的数字如此真实。

它反映的不是个体的懒惰，而是整个同行评审系统在AI论文爆炸时代的产能过剩与算力不足。

我们生产论文的速度，已远远超过我们阅读和评估论文的速度。

这次泄密事件，不仅暴露了AI替考，还顺藤摸瓜地证实了另一个长期存在的阴暗面：学术圈子文化与共谋网络。

在ICLR这次事件中，人们发现了不少相互打高分的小圈子。

这在学术界被称为「Reviewer Rings」（审稿人圈子）或「Citation Cartels」（引文卡特尔）。

简单说，就是一群人结成同盟。

「我是审稿人A，你是审稿人B。只要看到咱们圈子里的论文，不管写得如何，一律给High Confidence的高分。如果看到竞争对手的，一律找茬拒掉。」

甚至更为隐蔽的操作是：

「我给你过稿，但在意见里要求你引用我写的这5篇论文。」

这直接导致学术评价体系的崩坏。因为论文的引用量（Citation）和发表量是衡量学者水平的核心指标。

通过这种手段，一群平庸的研究者可以人为地制造出「学术明星」。

他们不需要做出一流的研究，他们只需要一流的「盟友」。

这并不是AI圈独有的问题，也不是第一次爆发。学术界对于这种「抱团」行为的斗争，从未停止过。

SIGARCH事件：在计算机体系结构领域，曾爆发过著名的「引文卡特尔」丑闻。调查发现，某些大牛教授利用自己的影响力，要求所有审稿人必须引用他们的文章，否则就拒稿。这导致某些特定小圈子的引用数呈现非自然的爆炸式增长。ACM（美国计算机协会）后来对此进行了彻查，并处理了一批涉事人员。

CVPR抱团：计算机视觉顶会CVPR也曾爆出过「Collusion Rings」。一些研究者通过互相告知论文特征（因为是双盲，不能直接写名字，但可以说「我的论文里有一个图是用蓝色标注的，题目大概是...」），或者在投稿前就交换论文摘要，来确保在分配审稿人时能够「精准匹配」到自己人。

CVPR甚至为此不得不改变了审稿人匹配机制，不再允许作者「竞标」自己想审的论文，或者严格限制竞标的权重。

但ICLR 2026的这次泄露，之所以影响巨大，是因为它提供了铁证。

以前大家只能怀疑：「这篇论文写得这么烂，为什么全是满分？」

现在大家看到了：「哦，原来给满分的这三个人，和作者都是同一个‘师门’出来的。」或者，「原来这几个人都是同一个国家的某个小圈子。」

OpenReview的漏洞，无意间充当了那个揭穿皇帝新衣的小孩。

它让我们看到，在所谓「公平、公正、双盲」的学术游戏规则下，潜藏着多少利益交换和人情世故。

这次泄露也不禁让所有人都面对一个更加尖锐的问题：

评审论文，究竟审的是论文，还是人？

彩蛋

在今年8月的NeurIPS审稿期间，也发生过一件趣事。

一位审稿人在意见里竟然忘记删除自己的Prompt（提示词），直接留下了「Who is Adam?」（亚当是谁？）这样一句莫名其妙的话。

这显然是他在问AI某个问题，结果不仅AI把答案生成了，他还把问题也复制进了评审意见里。

当时大家只是当笑话看。

现在，随着ICLR数据的泄露，很多人开始去翻旧账：

「那个问亚当是谁的审稿人，到底是谁？」

「那个给我打1分的家伙，到底发过几篇论文？」

这种猎奇、八卦又充满愤怒和无奈的心态，正在让学术圈变成一个充满猜忌的角斗场。

拓展阅读：谁是Adam？NeurIPS2025审稿爆年度最大笑话！Hinton也曾被拒稿

参考资料：

https://www.reddit.com/r/MachineLearning/comments/1p85vs0/d_openreview_all_information_leaks/

https://news.slashdot.org/story/25/11/28/139247/major-ai-conference-flooded-with-peer-reviews-written-fully-by-ai

https://forum.cspaper.org/topic/191/iclr-i-can-locate-reviewer-how-an-api-bug-turned-blind-review-into-a-data-apocalypse

https://www.chosun.com/english/industry-en/2025/11/28/GF5ZVDQ7Z5DYDL2XOD4TFDCDMI/