深扒ICLR「泄露門」：AI學(xué)術(shù)歷史上最魔幻的61分鐘，或許沒有之一

新智元報道

編輯：定慧

【新智元導(dǎo)讀】21%的審稿意見竟全是AI生成的！「AI寫，AI審」，ICLR裸奔事故從人肉搜索、金錢賄賂到全網(wǎng)吃瓜，這場鬧劇撕開了學(xué)術(shù)圈最后的遮羞布。深度復(fù)盤這瘋狂的61分鐘，見證AI頂會史上最荒誕的一夜。

2025年11月27日，感恩節(jié)。

但對于全球AI學(xué)術(shù)圈，特別是那些向頂級會議ICLR 2026提交了論文的數(shù)萬名研究者來說：

這一天，天塌了啊！

一場史無前例的、堪稱災(zāi)難級的「裸奔」正在上演，這不是比喻，就是字面意義上的「裸奔」！

只要把投稿ID填入特定的API鏈接，就能瞬間拉出這篇論文的所有作者、審稿人、AC的完整信息：

姓名、郵箱、機構(gòu)、個人履歷、甚至還沒來得及發(fā)出的「拒稿」理由。

這可能是，AI頂會時代最荒誕的一夜！

剛剛，ICLR 2026針對這次安全事件的最新聲明來了：有超過1萬篇論文評審信息被泄露！

這一事件不僅重創(chuàng)了本屆評審流程，也引發(fā)了社區(qū)對學(xué)術(shù)評審系統(tǒng)安全性的深切擔(dān)憂。

傳播數(shù)據(jù)的始作俑者已被識別并被ICLR和OpenReview永久封殺；任何試圖串通的投稿將被直接拒稿！

這還不是最魔幻的

OpenReview，因為一個低級到不可思議的API漏洞，直接把「雙盲評審」這塊學(xué)術(shù)界最后的遮羞布給扯了下來。

要知道，OpenReview承載著ICLR、NeurIPS、ICML等幾乎所有AI頂會論文評審！

但這還不是最魔幻的。

就在大家還在忙著「人肉」審稿人、忙著吃瓜、甚至忙著發(fā)郵件去「公關(guān)」的時候，一家名為Pangram Labs的AI檢測公司，利用這次泄露的數(shù)據(jù)，反手給學(xué)術(shù)圈來了一記更響亮的耳光：

在他們分析的ICLR 2026審稿意見中，有21%完全是由AI生成的。

超過一半的審稿意見，都有AI潤色或參與的痕跡。

甚至出現(xiàn)了「AI寫論文，AI審論文，由于AI幻覺互相吹捧」的賽博朋克閉環(huán)。

這不僅僅是一次技術(shù)事故，更是學(xué)術(shù)界最大的一場信任危機。

復(fù)盤這場鬧劇，看看那個被奉為神圣的「同行評審」制度，在2025年的今天，究竟已經(jīng)腐爛到了什么程度。

那個價值連城的「低級錯誤」

事情的起因，簡單得讓人發(fā)指。

先來聊聊OpenReview。

在AI學(xué)術(shù)圈，它的地位相當(dāng)于高。它的初衷是極好的：透明、公開。它希望讓評審過程不僅僅是一個黑箱，而是成為社區(qū)討論的一部分。

但誰也沒想到，這種「開放」，在11月27日這天，變成了「門戶大開」。

漏洞出在一個名為profiles/search的API接口上。

在正常的軟件工程邏輯里，這種涉及用戶身份信息的接口，應(yīng)該有最嚴格的權(quán)限驗證。

比如，我是作者張三，我登錄后，只能看到我自己的投稿信息。

我是審稿人李四，我只能看到我負責(zé)評審的那幾篇論文，而且在盲審階段，我絕對不能看到作者是誰。

但是，OpenReview的后端似乎忘了這一茬。

技術(shù)上講，這叫BOLA（BrokenObjectLevelAuthorization，對象級授權(quán)失效）。

這是OWASP API安全列表里排名第一的漏洞類型，也是最「低級」的錯誤之一。

攻擊者只需要構(gòu)造一個特定的URL請求，將group參數(shù)修改一下：

想看某篇論文的作者是誰？把參數(shù)改成Submission{paper_id}/Authors。

想看某篇論文的審稿人是誰？把參數(shù)改成Submission{paper_id}/Reviewer_{k}。

想看是誰在做領(lǐng)域主席（AC）？改成Submission{paper_id}/Area_Chair_{k}。

不需要黑客技術(shù)。

不需要復(fù)雜的滲透工具。

不需要拿到數(shù)據(jù)庫的管理員密碼。

就像是你去住酒店，發(fā)現(xiàn)只要把房卡上的房間號「101」用記號筆涂改成「102」，就能刷開隔壁的門一樣。

黃金61分鐘：從泄露到瘋傳

讓我們把時間撥回到那個瘋狂的早晨。

根據(jù)ICLR官方后續(xù)發(fā)布的報告，可以還原出這驚心動魄的61分鐘：

看起來很快對吧？從發(fā)現(xiàn)到修復(fù)，只用了一個小時。

但在互聯(lián)網(wǎng)時代，一個小時，足夠把整個ICLR 2026扒得連底褲都不剩。

就在這短短的60多分鐘里，有人（不管是出于惡意還是好奇，或者是為了炫技）寫了腳本，瘋狂爬取數(shù)據(jù)。

很快，一個包含了超過10,000篇ICLR投稿論文（占總投稿量的45%）的詳細數(shù)據(jù)集，開始在互聯(lián)網(wǎng)的隱秘角落、Telegram群組、甚至公開的社交媒體上瘋狂傳播。

這不僅僅是一個Excel表格。

這是一張巨大的、錯綜復(fù)雜的「關(guān)系網(wǎng)」。

誰是哪篇論文的作者？

誰給了這篇論文3分（滿分10分）？

誰在評論里陰陽怪氣？

誰又是那個「鐵面無私」的AC？

一切都藏不住了。

「ICLR=I Can Locate Reviewer」

學(xué)術(shù)圈的反應(yīng)是兩極分化的。

有人第一反應(yīng)是恐慌。

想象一下，你是一個剛?cè)肼毜哪贻p教職人員（AP），為了展現(xiàn)你的學(xué)術(shù)嚴謹性，你在審稿時給某位業(yè)內(nèi)大佬的論文寫了非常犀利的批評意見，甚至給了拒稿（Rejection）。

你當(dāng)時心里想的是：「反正雙盲，他不知道是我，我是為了科學(xué)的純潔性把關(guān)。」

結(jié)果現(xiàn)在，大佬知道了你是誰。

你明年的基金申請誰來審？

你以后還想在這個圈子里混嗎？

一位教授在Reddit上痛苦地反思：「許多我們只能在匿名保護下才能說出的誠實、批評性的意見，現(xiàn)在成了懸在頭頂?shù)倪_摩克利斯之劍。」

有人第二反應(yīng)是狂歡。

對于那些長期被「不負責(zé)任的審稿人」折磨的作者來說，這簡直是天降正義。

「終于知道是誰在胡說八道了！」

「原來那個說我缺乏創(chuàng)新的審稿人，自己連一篇頂會都沒發(fā)過！」

「這就是現(xiàn)世報！」

在小紅書、Twitter、Reddit上，一個新的梗迅速誕生了：

ICLR不再是International Conferenceon Learning Representations。

它現(xiàn)在的名字叫：I Can Locate Reviewer（我能定位審稿人）。

這句玩笑話背后，是學(xué)術(shù)圈對現(xiàn)有評審機制積壓已久的憤怒與無奈。

以下是網(wǎng)絡(luò)上大量的梗圖，充分說明了，憤怒和無奈是這次事件背后主情緒。

人肉、賄賂與恐嚇

如果事情只停留在「大家知道了彼此是誰」，那頂多也就是尷尬一陣子。

但人性是經(jīng)不起考驗的。

尤其是在涉及到頂會論文這種關(guān)乎畢業(yè)、找工作、拿綠卡、升職加薪的巨大利益面前。

泄露事件發(fā)生后的24小時內(nèi)，學(xué)術(shù)界的「黑暗森林」法則開始生效。

ICLR博客中披露的細節(jié)，讀起來讓人不寒而栗，有深感無奈。

「我可以給你錢，只要你改分」

ICLR官方的聲明里，他們發(fā)現(xiàn)隨著名單的泄露，大量的串通行為開始浮出水面。

怎么串通？手段極其直接，甚至粗暴。

直接聯(lián)系：作者不再裝了，直接給審稿人發(fā)郵件。「王教授/李博士，看到您是我的審稿人，能不能高抬貴手？」

利益交換：「如果你這次放我一馬，下次你的論文落在我手里，我也給你打滿分。」這是一種默契的「互保」。

金錢賄賂：ICLR的調(diào)查顯示，甚至有第三方（既不是作者也不是審稿人）介入。這些人像禿鷲一樣嗅到了腐肉的味道，充當(dāng)起「學(xué)術(shù)掮客」。他們聯(lián)系審稿人，直接提供賄賂，只為換取一個高分。

這已經(jīng)不是簡單的學(xué)術(shù)不端了。

這是腐敗。這是犯罪。

報復(fù)與威脅：學(xué)術(shù)圈的「開盒」

比賄賂更可怕的，是報復(fù)。

有作者利用泄露的數(shù)據(jù)發(fā)現(xiàn)，給自己的論文打低分的審稿人，竟然是競爭對手實驗室的成員。

而且，這位審稿人自己也投了一篇類似的論文。

為了讓自己的論文更容易中，這位審稿人故意給競爭對手打低分，壓低對方的評分。

這種「惡意差評」在匿名狀態(tài)下很難被證實，只能靠猜。

但現(xiàn)在，證據(jù)確鑿，IP、名字、機構(gòu)，全都在表里。

更極端的情況出現(xiàn)了。

ICLR官方發(fā)現(xiàn)，有一個惡意的評論者，利用自動化腳本，在600多篇論文的評論區(qū)里，公開點名審稿人的身份。

「Reviewer1是某某大學(xué)的某某。」、「Reviewer2是某某公司的某某。」

這種行為無異于網(wǎng)絡(luò)暴力。

一位審稿人可能因為給了一篇熱門論文差評，而被狂熱的粉絲或者利益相關(guān)者「開盒」，個人信息被掛在網(wǎng)上，遭受各種騷擾和恐嚇。

ICLR的「核按鈕」

面對這種失控的局面，ICLR組委會不得不按下了「核按鈕」。

為了止損，他們做出了一系列在學(xué)術(shù)界極其罕見的、甚至可以說是「壯士斷腕」的決定：

凍結(jié)討論：立即停止審稿人與作者之間的互動。因為現(xiàn)在的每一句話，都可能帶有場外的威脅或利誘。

全部重置：將所有論文重新分配給新的領(lǐng)域主席（AC）。這意味著之前的AC可能會因為身份暴露而無法公正裁決，必須換人。

分數(shù)回滾：將所有審稿意見和分數(shù)回滾到Bug爆發(fā)前的狀態(tài)。任何在泄露期間修改的分數(shù)（無論是被收買后改高的，還是惡意改低的）全部作廢。

極刑伺候：對于那些利用泄露數(shù)據(jù)進行聯(lián)系、串通或騷擾的人，ICLR祭出了最嚴厲的懲罰——直接拒稿，并對涉事人員進行多學(xué)年的封殺，禁止投稿和參會。

這一套組合拳下來，雖然暫時穩(wěn)住了局面，但也造成了巨大的混亂。

很多AC抱怨，新的分配讓他們需要在極短的時間內(nèi)重新閱讀幾十篇論文，工作量劇增。

而且，由于無法看到之前的討論，很多有價值的學(xué)術(shù)辯論也被迫中斷了。

但ICLR別無選擇。

如果不這么做，整個會議公信力將蕩然無存。

比泄密更可怕的真相

21%的「僵尸」評審

如果說身份泄露是「外憂」，那么Pangram Labs隨后的報告，則查出了ICLR的「內(nèi)患」。

Pangram Labs是一家做AI文本檢測的公司。

在ICLR數(shù)據(jù)泄露的混亂中，他們的CEO Max Spero做了一個大膽的決定：

既然數(shù)據(jù)都在外面飄著，不如我們拿來分析一下？

他們花了一晚上的時間，掃描了ICLR 2026的75,800條同行評審意見。

結(jié)果讓人頭皮發(fā)麻。這可能是AI歷史上最諷刺的一幕。

根據(jù)Pangram Labs發(fā)布的分析報告，他們發(fā)現(xiàn)了以下驚人的事實：

ICLR 2026數(shù)據(jù)泄露事件發(fā)生后，該公司CEOMaxSpero利用泄露的數(shù)據(jù)，在12小時內(nèi)掃描了所有的19,490篇投稿論文和75,800條同行評審意見，并得出了你提到的這些具體統(tǒng)計數(shù)據(jù)。

這份報告的核心發(fā)現(xiàn)如下：

• 21%的審稿意見為全AI生成

• 超過50%的審稿意見有AI痕跡

• 1%(199篇)的投稿論文為全AI生成（離譜）

• 9%的投稿論文含大量AI內(nèi)容

文章地址：https://www.pangram.com/blog/pangram-predicts-21-of-iclr-reviews-are-ai-generated?utm_source=chatgpt.com

這意味著，在ICLR這個代表著人類AI研究最高水平的殿堂里，有五分之一的裁判，根本就不是人。

這是一場AI審閱AI的荒誕劇。

作者用ChatGPT寫論文。

審稿人用ChatGPT寫評審意見。

最后由OpenReview的算法來分發(fā)。

人類在這個過程中，仿佛成了一個多余的「中間商」，只負責(zé)復(fù)制粘貼。

那些「一眼假」的審稿意見

怎么發(fā)現(xiàn)你的審稿人是AI的？

其實不用檢測工具，很多人類作者早就感覺不對勁了。

Pangram Labs的報告指出，這些AI生成的評審意見通常有以下幾個特征，大家可以對照一下自己收到的意見：

毫無意義的漂亮話：充滿了「本文結(jié)構(gòu)清晰」、「極具創(chuàng)新性」、「雖然但是」等萬金油式的夸贊，但就是說不出具體哪里好。這通常被稱為「Flattery」（阿諛奉承），是LLM的通病。

幻覺引用：AI會一本正經(jīng)地讓你去引用某篇論文，給出了作者、年份甚至頁碼。但你去Google Scholar一搜，查無此文。這純粹是AI在一本正經(jīng)地胡說八道。

車轱轆話：將摘要里的內(nèi)容換個說法重復(fù)一遍，沒有任何深度的洞察。

奇怪的詳細程度：比如對某個無關(guān)緊要的標點符號錯誤進行長篇大論的批評，卻對核心算法的邏輯漏洞視而不見。

離譜的建議：有時候AI會建議你去比較一些風(fēng)馬牛不相及的算法，僅僅是因為它在訓(xùn)練數(shù)據(jù)里見過這兩個詞同時出現(xiàn)。

一位來自哥本哈根大學(xué)的教授Desmond Elliott分享了他的經(jīng)歷：他的學(xué)生收到了一條評審意見，內(nèi)容完全離題，甚至充滿了事實性錯誤。

學(xué)生懷疑是AI寫的，結(jié)果一查，果然是全AI生成。

最諷刺的是，這條AI生成的評論，給了一個「Borderline」（模棱兩可）的分數(shù)。

這種分數(shù)最惡心人，因為它既不拒絕也不接受，卻極大地消耗了AC的注意力。

為什么審稿人要用AI？

難道這些審稿人沒有職業(yè)道德嗎？

不僅是道德問題，更是系統(tǒng)性崩潰的結(jié)果。

看一組數(shù)據(jù)：

ICLR2024收到了約7,000篇投稿。

ICLR2025收到了11,000篇。

而到了ICLR 2026，這個數(shù)字飆升到了19,490篇。

接近于指數(shù)級的增長！

但是，合格的審稿人（通常是博士高年級學(xué)生、博后、教授）的數(shù)量并沒有指數(shù)級增長。

如果你是一個博士生，你自己要寫論文，要做實驗，還要面臨畢業(yè)壓力。突然，導(dǎo)師扔給你5篇ICLR的論文讓你幫忙審（這在學(xué)術(shù)界是公開的秘密，雖然違規(guī)）。或者系統(tǒng)給你分配了8篇論文，要求你在兩周內(nèi)看完。

你會怎么辦？

在「Publish or Perish」（不發(fā)表就出局）的高壓下，審稿變成了一種沒有任何報酬、還要耗費大量精力的「苦差事」。

這時候，ChatGPT就像一個魔鬼的誘惑。

把PDF丟進去，輸入Prompt：「請幫我寫一段不少于500字的評審意見，語氣要專業(yè)，指出3個缺點。」

幾秒鐘，任務(wù)完成。

這就是為什么21%的數(shù)字如此真實。

它反映的不是個體的懶惰，而是整個同行評審系統(tǒng)在AI論文爆炸時代的產(chǎn)能過剩與算力不足。

我們生產(chǎn)論文的速度，已經(jīng)遠遠超過了我們閱讀和評估論文的速度。

這次泄密事件，不僅暴露了AI替考，還順藤摸瓜地證實了另一個一直存在的陰暗面：學(xué)術(shù)圈子文化與共謀網(wǎng)絡(luò)。

在ICLR這次事件中，人們發(fā)現(xiàn)了不少相互打高分的小圈子。

這在學(xué)術(shù)界被稱為「Reviewer Rings」（審稿人圈子）或「Citation Cartels」（引文卡特爾）。

簡單說，就是一群人結(jié)成同盟。

「我是審稿人A，你是審稿人B。只要看到咱們?nèi)ψ永锏恼撐模还軐懙迷趺礃樱宦山oHigh Confidence的高分。如果看到競爭對手的，一律找茬拒掉。」

甚至更為隱蔽的操作是：

「我給你過稿，但在意見里要求你引用我寫的這5篇論文。」

這直接導(dǎo)致了學(xué)術(shù)評價體系的崩壞。因為論文的引用量（Citation）和發(fā)表量是衡量學(xué)者水平的核心指標。

通過這種手段，一群平庸的研究者可以人為地制造出「學(xué)術(shù)明星」。

他們不需要做出一流的研究，他們只需要一流的「盟友」。

這并不是AI圈獨有的問題，也不是第一次爆發(fā)。學(xué)術(shù)界對于這種「抱團」行為的斗爭，從未停止過。

• SIGARCH事件：在計算機體系結(jié)構(gòu)領(lǐng)域，曾爆發(fā)過著名的「引文卡特爾」丑聞。調(diào)查發(fā)現(xiàn)，某些大牛教授利用自己的影響力，要求所有審稿人必須引用他們的文章，否則就拒稿。這導(dǎo)致某些特定小圈子的引用數(shù)呈現(xiàn)非自然的爆炸式增長。ACM（美國計算機協(xié)會）后來對此進行了徹查，并處理了一批涉事人員。

• CVPR抱團：計算機視覺頂會CVPR也曾爆出過「Collusion Rings」。一些研究者通過互相告知論文特征（因為是雙盲，不能直接寫名字，但可以說「我的論文里有一個圖是用藍色標注的，題目大概是...」），或者在投稿前就交換論文摘要，來確保在分配審稿人時能夠「精準匹配」到自己人。

CVPR甚至為此不得不改變了審稿人匹配機制，不再允許作者「競標」自己想審的論文，或者嚴格限制競標的權(quán)重。

但ICLR 2026的這次泄露，之所以影響巨大，是因為它提供了鐵證。

以前大家只能懷疑：「這篇論文寫得這么爛，為什么全是滿分？」

現(xiàn)在大家看到了：「哦，原來給滿分的這三個人，和作者都是同一個‘師門’出來的。」或者，「原來這幾個人都是同一個國家的某個小圈子。」

OpenReview的漏洞，無意間充當(dāng)了那個揭穿皇帝新衣的小孩。

它讓我們看到，在所謂「公平、公正、雙盲」的學(xué)術(shù)游戲規(guī)則下，潛藏著多少利益交換和人情世故。

這次泄露也不禁讓所有人都面對一個更加尖銳的問題：

評審論文，究竟審的是論文，還是人？

彩蛋

在今年8月的NeurIPS審稿期間，也發(fā)生過一件趣事。

一位審稿人在意見里竟然忘記刪除自己的Prompt（提示詞），直接留下了「Who is Adam?」（亞當(dāng)是誰？）這樣一句莫名其妙的話。

這顯然是他在問AI某個問題，結(jié)果不僅AI把答案生成了，他還把問題也復(fù)制進了評審意見里。

當(dāng)時大家只是當(dāng)笑話看。

現(xiàn)在，隨著ICLR數(shù)據(jù)的泄露，很多人開始去翻舊賬：

「那個問亞當(dāng)是誰的審稿人，到底是誰？」

「那個給我打1分的家伙，到底發(fā)過幾篇論文？」

這種獵奇、八卦又充滿憤怒和無奈的心態(tài)，正在讓學(xué)術(shù)圈變成一個充滿猜忌的角斗場。

參考資料：

https://www.reddit.com/r/MachineLearning/comments/1p85vs0/d_openreview_all_information_leaks/

https://news.slashdot.org/story/25/11/28/139247/major-ai-conference-flooded-with-peer-reviews-written-fully-by-ai

https://forum.cspaper.org/topic/191/iclr-i-can-locate-reviewer-how-an-api-bug-turned-blind-review-into-a-data-apocalypse

https://www.chosun.com/english/industry-en/2025/11/28/GF5ZVDQ7Z5DYDL2XOD4TFDCDMI/

秒追ASI

?點贊、轉(zhuǎn)發(fā)、在看一鍵三連?

點亮星標，鎖定新智元極速推送！