前言

今天下午17点左右，OpenReview报瓜了，至少在短暂的1个小时之内，匿名不再匿名。

可以通过api2的的网页React方式，来查询原本应该是匿名的Authors、Reviewers、Area_Chairs，这个方法不仅仅能查今年的（2026），甚至还能查到以往的（2025，2024）。

这不，这提醒我们，网上说话还是要谨慎，给人做review就要好好做review，不要因为是匿名的就乱来，否则在这个互联网上总有一天会被暴露出来的时候。

这个BUG已经被修复了，我们来回顾一下是怎么做到的。

正文

其实做法很简单，就是权限控制失效 + api地址泄露了，只要输入以下网址：

https://api2.openreview.net/profiles/search?group=<Conferece Name>/<Year>/Conference/<Submission ID>/<Authors|Reviewer_{}|Area_Chair_{}>

就能够返回一个相应的json数据，举例

对于ICLR 2026，的submission ID为 Submission3791的 reviewer i9mF： https://api2.openreview.net/profiles/search?group=ICLR.cc/2026/Conference/Submission3791/Reviewer_i9mF ，就能返回一个相应的json数据。这篇这个review是一个0分review，很有意思，可以看看 Don't use your imagination as academic basis
对于NeurlIPS而言是 NeurlIPS.cc
然后对于Authors、Reviewer、AreaChair分别是： Authors、Reviewer_{}、Area_Chair_{}

还有一个已经被网上爆出来很久的40 + 40哥，一个review给了40个weakness 和 40个questions，也是挺狠的。