新智元報(bào)道

編輯：元宇

【新智元導(dǎo)讀】一顆星，0.1美元，一杯6元奶茶能買8顆。ICSE頂會(huì)論文曝出GitHub上600萬顆星可能是刷出來的，其中大量「熱門項(xiàng)目」很可能是偽裝成盜版軟件、游戲外掛、加密貨幣機(jī)器人的釣魚或惡意軟件倉庫。

凌晨一點(diǎn)，一個(gè)程序員正在GitHub上挑選即將要用的開源工具。

一番比較之后，他點(diǎn)進(jìn)了那個(gè)star數(shù)最高的：4.2萬顆，活躍度還行，README寫得專業(yè)，issue回復(fù)頻率正常。

看起來，這就是那個(gè)對(duì)的選擇。

但他不知道的是，這個(gè)倉庫中那個(gè)承載了開發(fā)者信任的star中，究竟有多大比例是花錢買來的。

在過去，打開一個(gè)GitHub項(xiàng)目，第一眼掃star數(shù)，這是許多開發(fā)者沿用了多年的判斷路徑。

如今，這條路徑正在失靈。

GitHub Trending頁面，按star數(shù)給開源項(xiàng)目排座次

扯開這層遮羞布的，是一篇來自卡內(nèi)基梅隆大學(xué)的研究論文，它將在國際軟件工程大會(huì)ICSE2026的主會(huì)議上正式宣講，是妥妥的頂會(huì)實(shí)錘了！

論文的標(biāo)題簡(jiǎn)單粗暴：

《Six Million (Suspected) Fake Stars on GitHub》（GitHub上六百萬個(gè)（疑似）虛假星標(biāo)：一場(chǎng)不斷升級(jí)的熱度比拼、垃圾信息與惡意軟件漩渦）。

https://arxiv.org/pdf/2412.13459

研究團(tuán)隊(duì)來自卡內(nèi)基梅隆大學(xué)，聯(lián)合北卡羅來納州立大學(xué)和專做軟件供應(yīng)鏈安全的Socket Inc.。

他們做了一件過去沒人做過的事，把2019年7月到2024年12月之間GitHub全網(wǎng)公開事件數(shù)據(jù)全量掃了一遍。

掃出來的結(jié)果觸目驚心。

600萬顆疑似假星，18617個(gè)疑似參與刷星活動(dòng)的倉庫，30.1萬個(gè)相關(guān)賬戶。

一個(gè)曾經(jīng)熟悉的指標(biāo)，就這樣一夜之間變陌生了。

過去，GitHub的star數(shù)是開發(fā)者評(píng)估一個(gè)開源項(xiàng)目時(shí)最直觀的參考。但這篇頂會(huì)論文數(shù)據(jù)，卻告訴我們這個(gè)代表著信任的符號(hào)正在被系統(tǒng)性操縱。

GitHub上的那顆星，早已被貼上「FOR SALE」的標(biāo)簽

更可怕的是，它的背后已經(jīng)形成了一條完整的灰產(chǎn)市場(chǎng)，刷一顆GitHub star的報(bào)價(jià)低至0.10美元，一杯6元奶茶，就能夠買上8顆！

而且這些star可以被批量生產(chǎn)、定向投放、精準(zhǔn)注入任何一個(gè)想看起來「熱門」的倉庫。

GitHub星標(biāo)經(jīng)濟(jì)

被頂會(huì)論文裝進(jìn)顯微鏡

值得注意的是其中的一個(gè)數(shù)字。

2024年7月：是CMU研究團(tuán)隊(duì)給出的假星活動(dòng)峰值時(shí)點(diǎn)。

假星活動(dòng)在GitHub上的月度占比走勢(shì)。2024年7月的峰值，是此前五年總和都?jí)虿坏降母叨取?/p>

當(dāng)月GitHub上收到star的熱門倉庫里，16.66%涉及假星活動(dòng)。

這是什么概念?

你打開GitHub的Trending頁面，每瀏覽6個(gè)新上榜項(xiàng)目，大概率就有1個(gè)的熱度是「注了水」的。

這還不是所有GitHub倉庫，而是當(dāng)月上榜的那一批熱門倉庫。熱門倉庫子集受污染更明顯，但 Trending 本身只命中了很小一部分。

研究里另一個(gè)數(shù)據(jù)更有沖擊力。

2024年3月，GitHub活躍用戶中有6.59%，也就是117024個(gè)賬戶與假星活動(dòng)相關(guān)。

這意味著假星早就不是邊緣噪音，它已經(jīng)大到能污染整個(gè)生態(tài)的觀察指標(biāo)。

去年9月，CMU發(fā)布官方新聞稿時(shí)，Vasilescu說了一句很克制但很有分量的話：

我們不是第一批討論這個(gè)問題的人，所以發(fā)現(xiàn)與詐騙相關(guān)的虛假star并不讓我們意外。但它們的數(shù)量之大，還是讓我們很吃驚。

https://s3d.cmu.edu/news/2025/0903-github-stars.html

這里有個(gè)細(xì)節(jié)不能忽略。

論文同時(shí)指出，從絕對(duì)比例看，假star在GitHub全站所有star里通常仍只占約1%。

1%聽起來似乎不多。

但問題在于，這1%不是均勻分布的。它高度集中在兩個(gè)最敏感的位置：「熱門倉庫」和「活躍用戶」。

也就是說，普通開發(fā)者真正會(huì)去看、會(huì)去信、會(huì)拿來做選型決策的那個(gè)區(qū)域，恰恰是被污染最嚴(yán)重的。

ICSE是軟件工程領(lǐng)域最頂級(jí)的會(huì)議，一篇論文能進(jìn)ICSE正式研究論文類別，說明它已經(jīng)通過了非常嚴(yán)格的同行評(píng)審，研究方法、實(shí)驗(yàn)數(shù)據(jù)和結(jié)論整體上都是經(jīng)得起推敲的。

更關(guān)鍵的是，研究團(tuán)隊(duì)沒有只寫論文，還公開了StarScout源碼，以及論文測(cè)量研究所用的數(shù)據(jù)和腳本，為外界審查、復(fù)核和復(fù)現(xiàn)這項(xiàng)研究提供了基礎(chǔ)。

https://github.com/hehao98/StarScout

600萬假星數(shù)據(jù)怎么來的？

也許你會(huì)好奇，這600萬假星是怎么數(shù)出來的？會(huì)不會(huì)有誤傷？

研究團(tuán)隊(duì)給出的檢測(cè)方法不復(fù)雜，主要有兩個(gè)維度：

第一個(gè)，盯低活躍賬號(hào)。

有些刷星商家會(huì)用腳本批量注冊(cè)一次性賬號(hào)。這些賬號(hào)的畫像高度統(tǒng)一：沒頭像、沒簡(jiǎn)介、沒項(xiàng)目，注冊(cè)當(dāng)天只做了一件事：給某個(gè)倉庫點(diǎn)star，然后就再也不活躍了。

一看就是來「送數(shù)字」的。

第二個(gè)，盯群體同步異常。

專業(yè)術(shù)語叫l(wèi)ockstep，意思就是踏著同一步點(diǎn)走。

刷星商家要在短時(shí)間內(nèi)把幾千顆星交付給客戶，不得不反復(fù)調(diào)用手頭的賬號(hào)。

于是就會(huì)出現(xiàn)一種非常詭異的模式：一批賬號(hào)，在一個(gè)很短的時(shí)間窗口里，集中給一批倉庫點(diǎn)star，而且每個(gè)倉庫都接收了這批賬號(hào)里的很大一部分。

這種模式在自然用戶中幾乎不可能出現(xiàn)。

Facebook抓虛假點(diǎn)贊用的就是類似思路，算法叫CopyCatch。

研究團(tuán)隊(duì)在Google BigQuery上跑了約20TiB的GitHub事件數(shù)據(jù)，把這套方法從臉書搬到了GitHub的注意力經(jīng)濟(jì)里。

為降低誤報(bào)，他們還加了一道后處理：只有在歷史數(shù)據(jù)上出現(xiàn)過明顯「假星異常峰值」的倉庫，才會(huì)被最終標(biāo)記。

這就是600萬這個(gè)數(shù)字的來源。

2024年8月，Socket首次披露了370萬顆疑似假星。四個(gè)月后，樣本擴(kuò)展到2024年底，數(shù)字翻到600萬。黑灰產(chǎn)的膨脹速度，比研究團(tuán)隊(duì)追蹤的速度還快。https://socket.dev/blog/3-7-million-fake-github-stars-a-growing-threat-linked-to-scams-and-malware

至于刷星的成本，Socket的早期研究博客給出過一個(gè)價(jià)格參考：每顆假星最低0.1美元。

而它在GitHub上換來的，是曝光、是Trending、是可能的風(fēng)投故事、是開發(fā)者的第一眼信任。

刷星真相

短期甜長(zhǎng)期毒

刷星到底有沒有用？

研究團(tuán)隊(duì)專門做了面板回歸，把「真實(shí)star」和「假star」對(duì)后續(xù)真實(shí)關(guān)注的影響分開算。

結(jié)果很扎心。

真實(shí)star會(huì)持續(xù)帶來正向累積效應(yīng)，有人真的喜歡就會(huì)帶來更多人真的來看。

而假star的效果，只在接下來不到兩個(gè)月里有一丁點(diǎn)微弱的促進(jìn)，大小只有真star的五分之一。

更狠的是，從長(zhǎng)期看假star歷史越多，后續(xù)真star的增長(zhǎng)越差。買來的熱度到頭來變成了負(fù)資產(chǎn)。

這也符合直覺。

一個(gè)項(xiàng)目被刷上Trending，真實(shí)開發(fā)者點(diǎn)進(jìn)去發(fā)現(xiàn)文檔潦草、代碼粗糙、issue無人回應(yīng)，就會(huì)在心里給它打上「浮夸」標(biāo)簽。

這種印象比沒上Trending還傷。

但問題在于，即便長(zhǎng)期沒用，短期也夠騙到很多人，比如騙到風(fēng)投的盡調(diào)清單，騙到媒體的「本周最火開源項(xiàng)目」盤點(diǎn)，騙到技術(shù)選型時(shí)只看star數(shù)的新手開發(fā)者。

Socket在研究中還點(diǎn)出一個(gè)現(xiàn)象。

涉嫌刷星的倉庫，標(biāo)題里大量出現(xiàn)awesome、template、demo、example這幾個(gè)詞。

論文里涉事倉庫的詞云。awesome、template、demo、example這些詞被放得最大，它們是刷星倉庫最常用的偽裝面具。

看起來很實(shí)用、實(shí)際質(zhì)量平平的聚合類、教程類項(xiàng)目。

它們?cè)诎袵itHub變成一個(gè)充滿信息噪音的集市。

假星是惡意軟件的假面

但所有這些，都還不是這篇論文最令人恐怖的部分。

CMU研究團(tuán)隊(duì)在分析那18617個(gè)涉事倉庫時(shí)發(fā)現(xiàn)了一個(gè)極端數(shù)字：

其中90.42%已經(jīng)被GitHub刪除。

StarScout檢出的涉事倉庫，90.42%已被GitHub刪除；而GitHub全站隨機(jī)對(duì)照組的刪除率只有5.03%。這18倍的差距，為StarScout檢測(cè)結(jié)果提供了較強(qiáng)印證。

對(duì)仍然在線的樣本做進(jìn)一步內(nèi)容分析，結(jié)論是約30%還屬于spam或active、phishing、malware，也就是還在主動(dòng)傳播釣魚木馬的倉庫。

Spam/Phishing（紅色）單項(xiàng)占比達(dá)31.1%，比任何「正經(jīng)」類別都高，假星倉庫的主業(yè)，不是營銷，是偽裝。

換句話說：假星這門生意有相當(dāng)大一塊不是給創(chuàng)業(yè)公司做增長(zhǎng)黑客用的，而是給惡意軟件做「化妝」用的。

包裝套路高度統(tǒng)一。

偽裝成某款游戲的外掛工具、偽裝成某個(gè)熱門應(yīng)用的破解版、偽裝成「一鍵自動(dòng)擼空投」的加密貨幣機(jī)器人。

論文公開了一個(gè)具體案例。

左上是這個(gè)倉庫的 、README，漂亮得像一個(gè)正規(guī)開源項(xiàng)目。下方是代碼里藏著的spawn()調(diào)用，一旦運(yùn)行就會(huì)遠(yuǎn)程執(zhí)行一段加密腳本，悄悄偷走你的加密貨幣。

如圖中右上所顯示：一個(gè)名為Solmonster/PhantomSniper-Solana-Sniper-Bot的倉庫，被檢測(cè)到時(shí)有109個(gè)疑似假星，README寫得非常漂亮，看起來就像一個(gè)正規(guī)的Solana鏈搶購工具。

但它的代碼里藏著一個(gè)隱蔽的spawn()調(diào)用。你一旦運(yùn)行，它就會(huì)悄悄竊取你的加密貨幣。

再把視野拉高一層。

去年震動(dòng)安全圈的XZ Backdoor攻擊，就是典型的開源供應(yīng)鏈攻擊樣本。

攻擊者花了兩年時(shí)間騙到維護(hù)者的信任，把后門植入了一個(gè)被無數(shù)系統(tǒng)依賴的壓縮庫。

這件事本身和假星無關(guān)，但它說明了一個(gè)更本質(zhì)的問題。

開源生態(tài)里，信任一旦被偽造，下游有多少系統(tǒng)會(huì)被牽連，根本數(shù)不過來。

而假星恰恰是偽造信任的最低成本入口。

如果一顆星按0.1美元來算，1000顆不到100美元，就能讓一個(gè)藏著木馬的釣魚倉庫，看起來像一個(gè)剛起來的熱門開源項(xiàng)目。

這是一門被定價(jià)、被規(guī)�；�、被工具化的生意。

當(dāng)「點(diǎn)贊」不再可信

開源世界需要新的信任錨

自動(dòng)化刷星，早在GitHub官方政策明文禁止：「rank abuse，such as automated starring」（刷榜行為，比如機(jī)器自動(dòng)點(diǎn)Star）。

但問題是規(guī)則追不上黑產(chǎn)。

論文揭露的數(shù)字足以讓我們警醒：違規(guī)活動(dòng)不是在收斂，而是在爆發(fā)。至少現(xiàn)有的檢測(cè)和治理機(jī)制，對(duì)此的整治還是不夠的。

因此，研究團(tuán)隊(duì)也給出了幾個(gè)方向上的建議。

第一，降低star在GitHub聲譽(yù)體系里的權(quán)重。

平臺(tái)排名、搜索推薦、Trending榜單，都不該把star數(shù)當(dāng)作主要指標(biāo)。

第二，引入差異化star。

新注冊(cè)賬號(hào)、空白簡(jiǎn)介賬號(hào)、無任何活動(dòng)歷史的賬號(hào),它們的star不該和一個(gè)寫了五年代碼的老開發(fā)者的star等同看待。

第三，把更多難偽造的信號(hào)納入評(píng)估。

比如release發(fā)布節(jié)奏、真實(shí)依賴關(guān)系、issue回復(fù)質(zhì)量、PR合并情況、貢獻(xiàn)者多樣性。這些都比一個(gè)「+1」要難刷得多。

但這些建議的背后，是一個(gè)更深的問題。

社會(huì)學(xué)里有兩條經(jīng)典規(guī)律。

坎貝爾定律：任何定量社會(huì)指標(biāo)一旦被廣泛用于決策，就越容易被操縱，也越可能扭曲它原本想衡量的東西。

古德哈特定律：當(dāng)一個(gè)測(cè)量指標(biāo)被當(dāng)作目標(biāo)時(shí),它就不再是一個(gè)好指標(biāo)。

GitHub的star，正是這兩條定律的深刻體現(xiàn)。

它最早只是一個(gè)輕量的收藏動(dòng)作。后來被風(fēng)投、被招聘、被媒體、被技術(shù)選型層層賦予意義，它就從一個(gè)「評(píng)價(jià)工具」，變成了一個(gè)「被追逐的目標(biāo)」。

一旦成為「被追逐的目標(biāo)」，它就開始失掉原來的意義。

這不是GitHub一家的問題，Twitter的關(guān)注數(shù)、AppStore的評(píng)分……每一個(gè)「輕量信任信號(hào)」，都在經(jīng)歷同樣的命運(yùn)。

區(qū)別只在于，GitHub承載的不是一場(chǎng)人氣游戲，而是全球開發(fā)者賴以工作的代碼基礎(chǔ)設(shè)施。

每顆星堆起來的，是開源世界一道正在被鉆穿的信任防線。

參考資

https://x.com/rohanpaul_ai/status/2044567914859397181

https://arxiv.org/pdf/2412.13459