English
中文
Deutsch
StartseiteArtikel

Auf GitHub können Sterne (Stars) für 0,5 Yuan pro Stern erworben werden. Künstliche-Intelligenz-Projekte manipulieren am heftigsten die Anzahl der Sterne.

量子位2026-04-22 10:04
Auf GitHub gibt es etwa sechs Millionen gefälschte Stars.

Wird es wirklich niemand regeln, dass auf GitHub Sterne manipuliert werden...

Man hört schon seit langem, dass man Sterne kaufen kann, sogar bequemer als ein Lieferessen zu bestellen. Sie kosten 0,5 Yuan pro Stück, und es gibt Rabatte bei großen Bestellungen.

Aber ich hätte nicht gedacht, dass die Fälschungsskala so groß ist. Eine Studie von der Carnegie Mellon University, die in der Top-Konferenz ICSE 2026 aufgenommen wurde, hat diese "Branche" auf den Grund untersucht -

Es gibt auf GitHub ungefähr 6 Millionen gefälschte Sterne, die in 18.617 Repositories verteilt sind, und dahinter stecken über 300.000 gefälschte Accounts.

Tatsächlich hat die Anzahl der Sterne auf GitHub jetzt wirklich etwas von einer Wertinflation.

Früher waren Projekte mit einigen tausend Sternen als Spitzenprojekte anerkannt, aber jetzt können viele neue Projekte problemlos eine hohe Anzahl von Sternen erreichen und in die Trending-Liste gelangen.

Es stellt sich heraus, dass man sie sich einfach leisten kann (doge).

Und es ist sehr enttäuschend, dass AI/LLM-Projekte die Hauptgebiete für gefälschte Sterne sind...

Die Branche der gefälschten Sterne

Das Team der CMU hat ein Tool namens StarScout entwickelt, das in großem Maßstab ungewöhnliches Verhalten beim Vergeben von Sternen erkennen kann. Es kann gefälschte Sterne auf GitHub präzise lokalisieren, indem es ungewöhnliche Verhaltensweisen wie Zombie-Accounts und synchrones Massen-Vergeben von Sternen erkennt.

Die Studie basiert auf den globalen GitHub-Daten von 2019 - 2024 und hat schließlich ungefähr 6 Millionen vermutete gefälschte Sterne und über 18.000 Repositories, bei denen Sterne manipuliert wurden, identifiziert. Die Erkennungsgenauigkeit liegt bei beeindruckenden 81%.

Anhand der vorgestellten Beispiele wurde festgestellt, dass von 111 Sternen in einem Open-Source-Repository mindestens 109 als gefälscht eingestuft wurden.

Ähnlich stark gefälschte Repositories sind auf GitHub überall zu finden, und das Kaufen von gefälschten Sternen hat sich zu einer Branche entwickelt.

Laut einer Umfrage von Dagster im Jahr 2023 kann die Fälschung sogar "nach Wunsch" erfolgen. Es gibt gestaffelte Preise für gefälschte Sterne:

Die günstige Version kostet 0,03 - 0,10 US-Dollar pro Stern und bietet vor allem ein hervorragendes Preis-Leistungs-Verhältnis; die hochwertige Version kostet 0,80 - 0,90 US-Dollar pro Stern und setzt auf eine fein abgestimmte Tarnung.

Die günstigen Pakete verwenden oft in Massen registrierte leere Accounts, um schnell Sterne zu vergeben, was leicht die Risikokontrolle auslöst. Die teuren Dienstleistungen verwenden bewusst hochwertige alte Accounts, die über Jahre hinweg gepflegt wurden, und simulieren das Browsing- und Liking-Verhalten von echten Menschen, um so einen natürlichen und langsamen Anstieg der Sterne zu erreichen.

Zusätzlich wird ein Kundenservice angeboten, der langfristig die Sterne sichert und deren Löschung durch die Plattform verhindert. Die Tarnungstechnik ist auf dem Höchststand...

Außerdem sind die Verkaufskanäle nicht versteckt. Es gibt mindestens 12 Websites, die offen gefälschte Sterne verkaufen. Auf der Plattform Fiverr gibt es stetig 24 aktive Verkäufer, die Bestellungen entgegennehmen, und es wird sogar API-Unterstützung für die programmgesteuerte Massenbestellung angeboten.

Das ist noch nicht alles. Wo es Bedarf gibt, gibt es auch einen Markt. Es sind sogar Account-Farmen entstanden, die speziell GitHub-Accounts züchten.

Ein Account mit 5 Jahren Commit-Verlauf und dem Arctic Code Vault-Mitwirkersabzeichen kann für 5.000 US-Dollar verkauft werden.

Obwohl der Beitragsverlauf komplett gefälscht ist, sieht er aus wie ein ehrlicher Entwickler (doge).

Also, wer kauft diese gefälschten Sterne?

Es ist sehr enttäuschend zu sagen, aber die CMU-Studie zeigt, dass AI/LLM-Projekte die Hauptgebiete für das Manipulieren von Sternen auf GitHub sind und die Anzahl der Fälschungen in nicht-bösartigen Projekten an erster Stelle steht.

Die Fälschungsteams haben auch das Empfehlungsalgorithmus-System verstanden. Die statistischen Daten in der Studie zeigen, dass 78 stark gefälschte Projekte dank ihrer gefälschten Popularität in die GitHub-Trending-Liste geschafft haben.

Allerdings hat die Studie auch bestätigt, dass gefälschte Sterne nur kurzfristig wirksam sind, und nach einer gewissen Zeit können sie die echte Popularität sogar beeinträchtigen und negative Auswirkungen haben.

Sterne = Einlasskarte für Finanzierungen

Warum also Sterne kaufen? Der wichtigste Grund ist wahrscheinlich, um Geld zu verdienen.

Eine reine technische Überlegenheit reicht oft nicht aus, um Investoren schnell zu überzeugen. Anschauliche und quantifizierbare externe Daten sind zu den wichtigsten Kriterien für die schnelle Auswahl geworden.

Die Anzahl der GitHub-Sterne ist der wichtigste und anschaulichste harte Indikator für die Traffic-Menge, den die Venture Capitalisten (VCs) am meisten schätzen.

Ein Partner der renommierten Investmentfirma Redpoint hat einmal ein verstecktes Kriterium offen gelegt:

Für Open-Source-Start-up-Projekte beträgt die Medianzahl der Sterne für die Seed-Runde 2.850, und für die Serie A-Runde müssen es 4.980 sein.

Also greifen die Unternehmer zu ihrem Taschenrechner -

Um die Schwelle für die Seed-Runde zu erreichen, werden 2.850 Sterne benötigt. Bei einem Preis von 0,03 - 0,10 US-Dollar pro Stern liegt die Gesamtkosten für die Manipulation zwischen 85 und 285 US-Dollar.

Aber dieser minimale Einsatz kann enorme Erträge bringen.

Die Finanzierungsbeträge für die Seed-Runde von Open-Source-Projekten liegen im Allgemeinen zwischen 1 Million und 10 Millionen US-Dollar. Eine grobe Schätzung zeigt, dass der Return on Investment (ROI) für das Manipulieren von Sternen bis zu 117.000-fach betragen kann... Mit ein paar hundert Dollar für gefälschte Sterne kann man Millionen-Dollar-Finanzierungen erhalten. Das ist eine Rechnung, die jeder machen kann.

Quelle: Awesome Agents

Das Top-Venture-Capital-Unternehmen Runa Capital veröffentlicht jedes Quartal eine Liste der am schnellsten wachsenden Open-Source-Projekte, die für die Branche sehr hilfreich ist.

Die Daten zeigen, dass 68% der Projekte in dieser Liste erfolgreich die Seed-Runde abschließen können, und die Gesamtfinanzierungsbeträge belaufen sich auf 169 Millionen US-Dollar. Diese Liste gilt als ein zuverlässiger Indikator für hochwertige Projekte.

Aber es stellte sich heraus, dass bei dem Star-Projekt Union Labs, das an erster Stelle in dieser autoritativen Liste steht und beeindruckend 74.000 Sterne hat, 47.4% der Sterne wahrscheinlich gefälscht sind.

Der Fork-to-Star-Verhältnis liegt bei nur 0,052, während bei gesunden und wirklich aktiven Open-Source-Projekten in der Branche der normale Bereich zwischen 0,1 und 0,2 liegt.

So entsteht ein schädlicher Teufelskreis: Die VCs wählen Projekte anhand der Anzahl der Sterne → Die Unternehmer kaufen Sterne, um die Zahlen zu verbessern → Die VCs vertrauen den gefälschten Daten noch mehr und setzen stärker auf die Anzahl der Sterne → Mehr Leute folgen diesem Trend → Mehr Leute kaufen Sterne...

Wenn die Anzahl der Sterne nicht vertrauenswürdig ist, wonach soll man dann suchen?

Ein Internetnutzer hat seine eigene Auswahlmethode geteilt. Zuerst sollte man das Datum des letzten Commits betrachten. Je neuer, desto besser, denn das zeigt, dass das Projekt gewartet wird.

Dann sollte man das Alter des Projekts und die Aktualisierungsfrequenz betrachten. Ein altes Projekt, das weiterhin regelmäßig aktualisiert wird, ist in gewisser Weise auch eine Garantie für die Qualität.

Außerdem sind die Qualität der Issues und des Kerncodes auch ziemlich wichtig.

Der Mann hat es ganz richtig: Was kann mir die Anzahl der Sterne sagen? Entweder ist es ein indirektes Ergebnis der oben genannten Faktoren, oder es ist einfach nur Fälschung. Um die Qualität eines Projekts zu beurteilen, muss man schließlich wieder auf diese harten Indikatoren zurückgreifen.

Tatsächlich kann man zwar Sterne kaufen, aber man kann nicht einen echten Pull Request kaufen, der Ihnen hilft, Bugs zu beheben.

CMU-Studie:

https://arxiv.org/abs/2412.13459

Referenz-Links:

[1]https://awesomeagents.ai/news/github-fake-Stars-investigation/

[2]https://news.ycombinator.com/item?id=47831621

Dieser Artikel stammt aus dem WeChat-Publikationskanal "Quantum Bit", Autor: Wen Le. 36Kr hat die Veröffentlichung mit Genehmigung durchgeführt.

该文观点仅代表作者本人,36氪平台仅提供信息存储空间服务。

Für Presseanfragen, Content-Kooperationen, Geschäftliche Zusammenarbeit oder zur Gewinnung globaler Partner im Ökosystem, können Sie uns über folgenden Kontakte erreichen: E-Mail an mohaiying@36kr.com.
Partner:startuprad.io

(eu.36kr.com) ist ein branchenspezifisches Medium, das sich auf internationale Märkte konzentriert und Unternehmen bei ihren grenzüberschreitenden Aktivitäten mit umfassender Beratung und professionellen Dienstleistungen unterstützt.

© 2024 36kr.com. All rights reserved.