事件概述 - ICLR 2026同行评审过程发生重大安全事件，OpenReview平台API漏洞导致超过10,000篇投稿数据泄露，占总投稿量的45% [3][9] - 恶意行为者利用漏洞爬取论文作者、审稿人及领域主席详细信息并公开散布，引发大规模串通企图及第三方骚扰、恐吓和贿赂审稿人行为 [5][6][10] - 官方采取重磅措施，回滚评审数据至讨论期开始前状态并全员重新分配领域主席，以彻底斩断恶意干扰链条 [5][13] 事件时间线 - 11月27日东海岸时间上午10:09，ICLR团队获悉OpenReview漏洞导致信息泄露，一小时后漏洞被修复 [11] - 同日下午12:09，发现包含10,000篇投稿的数据集正在流传，官方发出下架请求并于12月1日前清除所有公开版本 [11] - 11月28日，冻结评审表格编辑功能，删除恶意评论并封禁用户，随后向所有参与者发送邮件通知回滚评审和重新分配AC的决定 [11] - 同日晚间9:30完成评审意见回滚，11:00完成AC重新分配 [11] - 调查显示漏洞可能早在11月11日已被利用，比公开爆发提前半个月 [6][12] 处理措施 - 官方将评审文本和分数回滚至漏洞公开前状态，并将每篇论文重新分配给新的领域主席 [13] - 新的AC负责查看原始评审意见并撰写元评审，元评审期限延长至1月6日，力争1月26日前发布录用通知 [13] - 泄露数据始作俑者已被平台封禁，任何试图利用泄露信息进行串通的论文将面临直接拒稿及纪律处分 [5][15] 影响评估 - 此次事件被定性为对ICLR及更广泛AI学术界的空前攻击，涉及第三方对审稿人进行恐吓与贿赂的恶劣行径 [6][17] - 事件对学术诚信构成严重风险，若不果断行动将玷污会议声誉、损害论文价值并开创不良先例 [12][17] - 官方正积极与其他AI会议分享调查结果，旨在推动整个学术社区在此次事件后变得更加强大 [17]