昨夜,学术论文审稿最常用的 OpenReview 平台出了一个前端 bug (存在能够未授权访问的 API 接口,调用该接口可以查找历史所有会议论文的审稿人和 Area Chair 等实名信息),导致原本的「双盲评审」变成了实名打分且分数可查。
只要把投稿的 paper ID 填入特定的 API 链接(如下),就能瞬间拉出这篇论文的所有作者、审稿人、AC 的完整信息:姓名、邮箱、机构、个人履历。更要命的是,不止能看到名字,系统还会顺便把审稿人给论文初步评分、评论一并打包吐出来。
https://api2.openreview.net/profiles/search?group=NeurIPS.cc/2025/Conference/Submission{}/Reviewer_{}
https://api2.openreview.net/profiles/search?group=NeurIPS.cc/2025/Conference/Submission{}/Area_Chair_{}
![]()
OpenReview 随后发布了一份 API 安全事件的声明:
美国东部时间上午 10:09,OpenReview 团队收到来自 ICLR 工作流主席的通知:
我们的 API 中存在一个安全漏洞,该漏洞允许在跨会议的特定 profile 搜索 API 端点中,未经授权访问通常匿名的身份信息(审稿人、作者、领域主席)。
在收到初始报告后一小时内,我们已部署了软件补丁以阻止未授权访问。
响应时间线:
- 10:09 AM:ICLR 2026 工作流主席报告问题
- 10:12 AM:OpenReview 团队确认接收并开始调查
- 11:00 AM:修复部署到 api.openreview.net
- 11:08 AM:修复部署到 api2.openreview.net
- 11:10 AM:程序主席与工作流主席被通知问题已解决
![]()
AI 领域顶级学术会议 ICLR 2026 组织者关于 OpenReview 重大数据泄露事件的紧急声明:
11月27日,ICLR 获悉存在一个软件漏洞,该漏洞泄露了作者、审稿人和领域主席(Area Chairs)的姓名。此漏洞影响了所有托管在 OpenReview 平台上的会议,我们感谢 OpenReview 团队迅速修复了该问题。
任何使用、利用或分享泄露信息的行为(无论是本通知发布之前还是之后)均违反 ICLR 行为准则,并将立即导致所有投稿被直接拒稿,以及被禁止参加未来数年的 ICLR 会议。如果您受到任何作者或审稿人的联系、威胁,或收到任何赔偿提议,请立即通过 program-chairs @ iclr.cc 举报。
开盒、骚扰或任何形式的报复(无论是在线还是线下)都不会被容忍,并将导致行为准则中规定的最高处罚。
![]()
