新智元报道

编辑：定慧

21%的审稿意见竟全是AI生成的！「AI写，AI审」，ICLR裸奔事故从人肉搜索、金钱贿赂到全网吃瓜，这场闹剧撕开了学术圈最后的遮羞布。深度复盘这疯狂的61分钟，见证AI顶会史上最荒诞的一夜。

2025年11月27日，感恩节。

但对于全球AI学术圈，特别是那些向顶级会议ICLR 2026提交了论文的数万名研究者来说：

这一天，天塌了啊！

一场史无前例的、堪称灾难级的「裸奔」正在上演，这不是比喻，就是字面意义上的「裸奔」！

只要把投稿ID填入特定的API链接，就能瞬间拉出这篇论文的所有作者、审稿人、AC的完整信息：

姓名、邮箱、机构、个人履历、甚至还没来得及发出的「拒稿」理由。

这可能是，AI顶会时代最荒诞的一夜！

刚刚，ICLR 2026针对这次安全事件的最新声明来了：有超过1万篇论文评审信息被泄露！

这一事件不仅重创了本届评审流程，也引发了社区对学术评审系统安全性的深切担忧。

传播数据的始作俑者已被识别并被ICLR和OpenReview永久封杀；任何试图串通的投稿将被直接拒稿！

这还不是最魔幻的

OpenReview，因为一个低级到不可思议的API漏洞，直接把「双盲评审」这块学术界最后的遮羞布给扯了下来。

要知道，OpenReview承载着ICLR、NeurIPS、ICML等几乎所有AI顶会论文评审！

但这还不是最魔幻的。

就在大家还在忙着「人肉」审稿人、忙着吃瓜、甚至忙着发邮件去「公关」的时候，一家名为Pangram Labs的AI检测公司，利用这次泄露的数据，反手给学术圈来了一记更响亮的耳光：

在他们分析的ICLR 2026审稿意见中，有21%完全是由AI生成的。

超过一半的审稿意见，都有AI润色或参与的痕迹。

甚至出现了「AI写论文，AI审论文，由于AI幻觉互相吹捧」的赛博朋克闭环。

这不仅仅是一次技术事故，更是学术界最大的一场信任危机。

复盘这场闹剧，看看那个被奉为神圣的「同行评审」制度，在2025年的今天，究竟已经腐烂到了什么程度。

那个价值连城的「低级错误」

事情的起因，简单得让人发指。

先来聊聊OpenReview。

在AI学术圈，它的地位相当于高。它的初衷是极好的：透明、公开。它希望让评审过程不仅仅是一个黑箱，而是成为社区讨论的一部分。

但谁也没想到，这种「开放」，在11月27日这天，变成了「门户大开」。

漏洞出在一个名为profiles/search的API接口上。

在正常的软件工程逻辑里，这种涉及用户身份信息的接口，应该有最严格的权限验证。

比如，我是作者张三，我登录后，只能看到我自己的投稿信息。

我是审稿人李四，我只能看到我负责评审的那几篇论文，而且在盲审阶段，我绝对不能看到作者是谁。

但是，OpenReview的后端似乎忘了这一茬。

技术上讲，这叫BOLA（BrokenObjectLevelAuthorization，对象级授权失效）。

这是OWASP API安全列表里排名第一的漏洞类型，也是最「低级」的错误之一。

攻击者只需要构造一个特定的URL请求，将group参数修改一下：

想看某篇论文的作者是谁？把参数改成Submission{paper_id}/Authors。

想看某篇论文的审稿人是谁？把参数改成Submission{paper_id}/Reviewer_{k}。

想看是谁在做领域主席（AC）？改成Submission{paper_id}/Area_Chair_{k}。

不需要黑客技术。

不需要复杂的渗透工具。

不需要拿到数据库的管理员密码。

就像是你去住酒店，发现只要把房卡上的房间号「101」用记号笔涂改成「102」，就能刷开隔壁的门一样。

黄金61分钟：从泄露到疯传

让我们把时间拨回到那个疯狂的早晨。

根据ICLR官方后续发布的报告，可以还原出这惊心动魄的61分钟：

看起来很快对吧？从发现到修复，只用了一个小时。

但在互联网时代，一个小时，足够把整个ICLR 2026扒得连底裤都不剩。

就在这短短的60多分钟里，有人（不管是出于恶意还是好奇，或者是为了炫技）写了脚本，疯狂爬取数据。

很快，一个包含了超过10,000篇ICLR投稿论文（占总投稿量的45%）的详细数据集，开始在互联网的隐秘角落、Telegram群组、甚至公开的社交媒体上疯狂传播。

这不仅仅是一个Excel表格。

这是一张巨大的、错综复杂的「关系网」。

谁是哪篇论文的作者？

谁给了这篇论文3分（满分10分）？

谁在评论里阴阳怪气？

谁又是那个「铁面无私」的AC？

一切都藏不住了。

「ICLR=I Can Locate Reviewer」

学术圈的反应是两极分化的。

有人第一反应是恐慌。

想象一下，你是一个刚入职的年轻教职人员（AP），为了展现你的学术严谨性，你在审稿时给某位业内大佬的论文写了非常犀利的批评意见，甚至给了拒稿（Rejection）。

你当时心里想的是：「反正双盲，他不知道是我，我是为了科学的纯洁性把关。」

结果现在，大佬知道了你是谁。

你明年的基金申请谁来审？

你以后还想在这个圈子里混吗？

一位教授在Reddit上痛苦地反思：「许多我们只能在匿名保护下才能说出的诚实、批评性的意见，现在成了悬在头顶的达摩克利斯之剑。」

有人第二反应是狂欢。

对于那些长期被「不负责任的审稿人」折磨的作者来说，这简直是天降正义。

「终于知道是谁在胡说八道了！」

「原来那个说我缺乏创新的审稿人，自己连一篇顶会都没发过！」

「这就是现世报！」

在小红书、Twitter、Reddit上，一个新的梗迅速诞生了：

ICLR不再是International Conferenceon Learning Representations。

它现在的名字叫：I Can Locate Reviewer（我能定位审稿人）。

这句玩笑话背后，是学术圈对现有评审机制积压已久的愤怒与无奈。

以下是网络上大量的梗图，充分说明了，愤怒和无奈是这次事件背后主情绪。

人肉、贿赂与恐吓

如果事情只停留在「大家知道了彼此是谁」，那顶多也就是尴尬一阵子。

但人性是经不起考验的。

尤其是在涉及到顶会论文这种关乎毕业、找工作、拿绿卡、升职加薪的巨大利益面前。

泄露事件发生后的24小时内，学术界的「黑暗森林」法则开始生效。

ICLR博客中披露的细节，读起来让人不寒而栗，有深感无奈。

「我可以给你钱，只要你改分」

ICLR官方的声明里，他们发现随着名单的泄露，大量的串通行为开始浮出水面。

怎么串通？手段极其直接，甚至粗暴。

直接联系：作者不再装了，直接给审稿人发邮件。「王教授/李博士，看到您是我的审稿人，能不能高抬贵手？」

利益交换：「如果你这次放我一马，下次你的论文落在我手里，我也给你打满分。」这是一种默契的「互保」。

金钱贿赂：ICLR的调查显示，甚至有第三方（既不是作者也不是审稿人）介入。这些人像秃鹫一样嗅到了腐肉的味道，充当起「学术掮客」。他们联系审稿人，直接提供贿赂，只为换取一个高分。

这已经不是简单的学术不端了。

这是腐败。这是犯罪。

报复与威胁：学术圈的「开盒」

比贿赂更可怕的，是报复。

有作者利用泄露的数据发现，给自己的论文打低分的审稿人，竟然是竞争对手实验室的成员。

而且，这位审稿人自己也投了一篇类似的论文。

为了让自己的论文更容易中，这位审稿人故意给竞争对手打低分，压低对方的评分。

这种「恶意差评」在匿名状态下很难被证实，只能靠猜。

但现在，证据确凿，IP、名字、机构，全都在表里。

更极端的情况出现了。

ICLR官方发现，有一个恶意的评论者，利用自动化脚本，在600多篇论文的评论区里，公开点名审稿人的身份。

「Reviewer1是某某大学的某某。」、「Reviewer2是某某公司的某某。」

这种行为无异于网络暴力。

一位审稿人可能因为给了一篇热门论文差评，而被狂热的粉丝或者利益相关者「开盒」，个人信息被挂在网上，遭受各种骚扰和恐吓。

ICLR的「核按钮」

面对这种失控的局面，ICLR组委会不得不按下了「核按钮」。

为了止损，他们做出了一系列在学术界极其罕见的、甚至可以说是「壮士断腕」的决定：

冻结讨论：立即停止审稿人与作者之间的互动。因为现在的每一句话，都可能带有场外的威胁或利诱。

全部重置：将所有论文重新分配给新的领域主席（AC）。这意味着之前的AC可能会因为身份暴露而无法公正裁决，必须换人。

分数回滚：将所有审稿意见和分数回滚到Bug爆发前的状态。任何在泄露期间修改的分数（无论是被收买后改高的，还是恶意改低的）全部作废。

极刑伺候：对于那些利用泄露数据进行联系、串通或骚扰的人，ICLR祭出了最严厉的惩罚——直接拒稿，并对涉事人员进行多学年的封杀，禁止投稿和参会。

这一套组合拳下来，虽然暂时稳住了局面，但也造成了巨大的混乱。

很多AC抱怨，新的分配让他们需要在极短的时间内重新阅读几十篇论文，工作量剧增。

而且，由于无法看到之前的讨论，很多有价值的学术辩论也被迫中断了。

但ICLR别无选择。

如果不这么做，整个会议公信力将荡然无存。

比泄密更可怕的真相

21%的「僵尸」评审

如果说身份泄露是「外忧」，那么Pangram Labs随后的报告，则查出了ICLR的「内患」。

Pangram Labs是一家做AI文本检测的公司。

在ICLR数据泄露的混乱中，他们的CEO Max Spero做了一个大胆的决定：

既然数据都在外面飘着，不如我们拿来分析一下？

他们花了一晚上的时间，扫描了ICLR 2026的75,800条同行评审意见。

结果让人头皮发麻。这可能是AI历史上最讽刺的一幕。

根据Pangram Labs发布的分析报告，他们发现了以下惊人的事实：

ICLR 2026数据泄露事件发生后，该公司CEOMaxSpero利用泄露的数据，在12小时内扫描了所有的19,490篇投稿论文和75,800条同行评审意见，并得出了你提到的这些具体统计数据。

这份报告的核心发现如下：

21%的审稿意见为全AI生成

超过50%的审稿意见有AI痕迹

1%(199篇)的投稿论文为全AI生成（离谱）

9%的投稿论文含大量AI内容

文章地址：https://www.pangram.com/blog/pangram-predicts-21-of-iclr-reviews-are-ai-generated?utm_source=chatgpt.com

这意味着，在ICLR这个代表着人类AI研究最高水平的殿堂里，有五分之一的裁判，根本就不是人。

这是一场AI审阅AI的荒诞剧。

作者用ChatGPT写论文。

审稿人用ChatGPT写评审意见。

最后由OpenReview的算法来分发。

人类在这个过程中，仿佛成了一个多余的「中间商」，只负责复制粘贴。

那些「一眼假」的审稿意见

怎么发现你的审稿人是AI的？

其实不用检测工具，很多人类作者早就感觉不对劲了。

Pangram Labs的报告指出，这些AI生成的评审意见通常有以下几个特征，大家可以对照一下自己收到的意见：

毫无意义的漂亮话：充满了「本文结构清晰」、「极具创新性」、「虽然但是」等万金油式的夸赞，但就是说不出具体哪里好。这通常被称为「Flattery」（阿谀奉承），是LLM的通病。

幻觉引用：AI会一本正经地让你去引用某篇论文，给出了作者、年份甚至页码。但你去Google Scholar一搜，查无此文。这纯粹是AI在一本正经地胡说八道。

车轱辘话：将摘要里的内容换个说法重复一遍，没有任何深度的洞察。

奇怪的详细程度：比如对某个无关紧要的标点符号错误进行长篇大论的批评，却对核心算法的逻辑漏洞视而不见。

离谱的建议：有时候AI会建议你去比较一些风马牛不相及的算法，仅仅是因为它在训练数据里见过这两个词同时出现。

一位来自哥本哈根大学的教授Desmond Elliott分享了他的经历：他的学生收到了一条评审意见，内容完全离题，甚至充满了事实性错误。

学生怀疑是AI写的，结果一查，果然是全AI生成。

最讽刺的是，这条AI生成的评论，给了一个「Borderline」（模棱两可）的分数。

这种分数最恶心人，因为它既不拒绝也不接受，却极大地消耗了AC的注意力。

为什么审稿人要用AI？

难道这些审稿人没有职业道德吗？

不仅是道德问题，更是系统性崩溃的结果。

看一组数据：

ICLR2024收到了约7,000篇投稿。

ICLR2025收到了11,000篇。

而到了ICLR 2026，这个数字飙升到了19,490篇。

接近于指数级的增长！

但是，合格的审稿人（通常是博士高年级学生、博后、教授）的数量并没有指数级增长。

如果你是一个博士生，你自己要写论文，要做实验，还要面临毕业压力。突然，导师扔给你5篇ICLR的论文让你帮忙审（这在学术界是公开的秘密，虽然违规）。或者系统给你分配了8篇论文，要求你在两周内看完。

你会怎么办？

在「Publish or Perish」（不发表就出局）的高压下，审稿变成了一种没有任何报酬、还要耗费大量精力的「苦差事」。

这时候，ChatGPT就像一个魔鬼的诱惑。

把PDF丢进去，输入prompt：「请帮我写一段不少于500字的评审意见，语气要专业，指出3个缺点。」

几秒钟，任务完成。

这就是为什么21%的数字如此真实。

它反映的不是个体的懒惰，而是整个同行评审系统在AI论文爆炸时代的产能过剩与算力不足。

我们生产论文的速度，已经远远超过了我们阅读和评估论文的速度。

这次泄密事件，不仅暴露了AI替考，还顺藤摸瓜地证实了另一个一直存在的阴暗面：学术圈子文化与共谋网络。

在ICLR这次事件中，人们发现了不少相互打高分的小圈子。

这在学术界被称为「Reviewer Rings」（审稿人圈子）或「Citation Cartels」（引文卡特尔）。

简单说，就是一群人结成同盟。

「我是审稿人A，你是审稿人B。只要看到咱们圈子里的论文，不管写得怎么样，一律给High Confidence的高分。如果看到竞争对手的，一律找茬拒掉。」

甚至更为隐蔽的操作是：

「我给你过稿，但在意见里要求你引用我写的这5篇论文。」

这直接导致了学术评价体系的崩坏。因为论文的引用量（Citation）和发表量是衡量学者水平的核心指标。

通过这种手段，一群平庸的研究者可以人为地制造出「学术明星」。

他们不需要做出一流的研究，他们只需要一流的「盟友」。

这并不是AI圈独有的问题，也不是第一次爆发。学术界对于这种「抱团」行为的斗争，从未停止过。

SIGARCH事件：在计算机体系结构领域，曾爆发过著名的「引文卡特尔」丑闻。调查发现，某些大牛教授利用自己的影响力，要求所有审稿人必须引用他们的文章，否则就拒稿。这导致某些特定小圈子的引用数呈现非自然的爆炸式增长。ACM（美国计算机协会）后来对此进行了彻查，并处理了一批涉事人员。

CVPR抱团：计算机视觉顶会CVPR也曾爆出过「Collusion Rings」。一些研究者通过互相告知论文特征（因为是双盲，不能直接写名字，但可以说「我的论文里有一个图是用蓝色标注的，题目大概是...」），或者在投稿前就交换论文摘要，来确保在分配审稿人时能够「精准匹配」到自己人。

CVPR甚至为此不得不改变了审稿人匹配机制，不再允许作者「竞标」自己想审的论文，或者严格限制竞标的权重。

但ICLR 2026的这次泄露，之所以影响巨大，是因为它提供了铁证。

以前大家只能怀疑：「这篇论文写得这么烂，为什么全是满分？」

现在大家看到了：「哦，原来给满分的这三个人，和作者都是同一个‘师门’出来的。」或者，「原来这几个人都是同一个国家的某个小圈子。」

OpenReview的漏洞，无意间充当了那个揭穿皇帝新衣的小孩。

它让我们看到，在所谓「公平、公正、双盲」的学术游戏规则下，潜藏着多少利益交换和人情世故。

这次泄露也不禁让所有人都面对一个更加尖锐的问题：

评审论文，究竟审的是论文，还是人？

彩蛋

在今年8月的NeurIPS审稿期间，也发生过一件趣事。

一位审稿人在意见里竟然忘记删除自己的prompt（提示词），直接留下了「Who is Adam?」（亚当是谁？）这样一句莫名其妙的话。

这显然是他在问AI某个问题，结果不仅AI把答案生成了，他还把问题也复制进了评审意见里。

当时大家只是当笑话看。

现在，随着ICLR数据的泄露，很多人开始去翻旧账：

「那个问亚当是谁的审稿人，到底是谁？」

「那个给我打1分的家伙，到底发过几篇论文？」

这种猎奇、八卦又充满愤怒和无奈的心态，正在让学术圈变成一个充满猜忌的角斗场。

参考资料：

https://www.reddit.com/r/MachineLearning/comments/1p85vs0/d_openreview_all_information_leaks/

https://news.slashdot.org/story/25/11/28/139247/major-ai-conference-flooded-with-peer-reviews-written-fully-by-ai

https://forum.cspaper.org/topic/191/iclr-i-can-locate-reviewer-how-an-api-bug-turned-blind-review-into-a-data-apocalypse

https://www.chosun.com/english/industry-en/2025/11/28/GF5ZVDQ7Z5DYDL2XOD4TFDCDMI/

秒追ASI

⭐点赞、转发、在看一键三连⭐

点亮星标，锁定新智元极速推送！