GitHub's Fake Star Economy
GitHub 星球的阴影:虚假星标的生态系统揭秘 (The Shadow of GitHub Stars: Unveiling the Ecosystem of Fake Stars)
这份调查报告揭示了一个庞大而专业的“影子经济”,它在 GitHub 上公开运作,利用虚假星标来为项目筹集资金。
核心发现:
- 虚假星标泛滥: 卡内基梅隆大学等机构联合进行的一项同行评审研究(ICSE 2026)发现,在 18,617 个仓库中,有约 600 万个可疑的虚假星标,由约 301,000 个账户发出。其中,AI/LLM 相关项目是虚假星标数量最多的非恶意类别。
- 星标的交易: 至少有十几个网站、Fiverr 平台以及 Telegram 频道公开出售 GitHub 星标,价格从 0.03 美元到 0.85 美元不等。无需访问暗网即可购买。
- VC 的依赖: 风险投资公司(VC)明确将星标数量作为项目评估指标。Redpoint Ventures 的研究表明,种子轮融资的 中位数星标数量为 2,850,许多公司运行自动化脚本来寻找快速增长的项目。
- 数据分析的验证: 研究人员对 20 个项目进行了分析,发现其中 36% 到 76% 的星标用户没有关注者,而仓库的星标与fork 的比率比有机增长的项目低 10 倍。
- 法律风险: 美国联邦贸易委员会 (FTC) 发布的 2024 年规则禁止虚假的社交影响指标,每项违规行为将处以 53,088 美元 的罚款。美国证券交易委员会 (SEC) 已经对创业公司创始人因虚报项目进展而提起诉讼。
虚假星标的生态系统:
- 研究: ICSE 2026 的研究利用 StarScout 工具分析了 20TB 的 GitHub 元数据,识别了 600 万个可疑的虚假星标。2024 年,拥有 50 颗星以上的仓库中,有 16.66% 参与了虚假星标活动。
- 市场: 星标销售生态系统包括专门网站(如 SocialPlug.io, Buy.fans)、自由职业平台(Fiverr)、星标交换平台(GithubStarMate.com)以及 Telegram 频道。不同等级的服务提供商的价格和账户质量各不相同。
- 工具: 有开源工具用于伪造 GitHub 贡献图表(如 fake-git-history, commit-bot),甚至可以购买拥有五年提交历史和 Arctic Code Vault 贡献者徽章的预制 GitHub 账户,价格约为 5,000 美元。
- 中国市场: 清华大学的研究表明,中国的 QQ 和微信推广群组每年通过推广项目赚取约 340 万至 440 万美元。
分析结果:
研究人员对 20 个仓库进行了分析,发现虚假星标的特征包括:
- 账户年龄: 虚假账户通常拥有较长的历史,但缺乏实际的仓库和关注者。
- 零活动: 许多账户没有公共仓库,也没有关注者。
- 低 fork/star 比率: 虚假星标仓库的 fork/star 比率远低于有机增长的项目。
- 零关注者: 36% 到 76% 的星标用户没有关注者。
资金的驱动力:
VC 公司明确使用星标数量作为项目评估指标,并将其与融资额挂钩。购买星标的成本相对于种子轮融资的潜在回报来说,回报率极高,这导致了数千个仓库利用这一漏洞。
GitHub 的应对:
GitHub 的可接受使用政策禁止虚假账户和自动化活动。虽然 GitHub 会删除被标记的仓库,但对虚假账户的清除效率较低。
未来的展望:
研究人员建议 GitHub 采用基于网络中心度的加权流行度指标,以更有效地打击虚假星标。 随着 FTC 规则的实施和 SEC 的监管力度加大,虚假星标行为将面临更大的法律风险。
总结:
GitHub 星球的阴影正在蔓延,虚假星标的生态系统正在蓬勃发展。 投资者、平台