Penulis: Claude, Deep Tide TechFlow
Panduan Deep Tide: Penelitian peer-review Universitas Carnegie Mellon (CMU) menemukan sekitar 6 juta Star palsu di GitHub, melibatkan 18.600 repositori dan 301.000 akun. Proyek AI/LLM adalah kategori pembelian Star non-jahat terbesar. Harga pasar per Star serendah 0,03 dolar, dan data Redpoint menunjukkan median Star untuk proyek seed round VC adalah 2.850 — dengan kurang dari 200 dolar, Anda bisa "membeli" popularitas palsu yang memenuhi ambang batas seed round.
GitHub Star (suka) sedang berubah menjadi penipuan yang dikemas dengan rapi.
Menurut laporan investigasi yang dirilis Awesome Agents pada 13 April, rantai industri abu-abu yang matang seputar GitHub Star telah beroperasi di bawah terang matahari: makalah akademis mengkuantifikasi skala masalah, lebih dari sepuluh situs web menjual Star secara terbuka, dan firma modal ventura memasukkan jumlah Star langsung ke dalam keputusan penyaringan proyek.
Tim investigasi melakukan verifikasi independen terhadap 20 repositori dan menemukan bahwa 36% hingga 76% Star di beberapa proyek berasal dari akun nol pengikut, dengan rasio fork terhadap star di bawah sepersepuluh baseline proyek organik.
Dukungan akademis inti laporan ini berasal dari makalah peer-review yang diterbitkan bersama oleh CMU, North Carolina State University, dan perusahaan Socket di ICSE 2026 (Konferensi Internasional tentang Rekayasa Perangkat Lunak). Alat deteksi StarScout yang dikembangkan tim peneliti menganalisis 20TB metadata GitHub (6,7 miliar peristiwa, 326 juta Star, mencakup tahun 2019 hingga 2024), dan akhirnya menandai sekitar 6 juta Star palsu yang mencurigakan, 18.600 repositori yang terlibat, dan sekitar 301.000 akun partisipan.
6 Juta Star Palsu: Pertumbuhan Meledak di 2024, Proyek AI Jadi Sasaran Utama
Star palsu bukanlah fenomena baru, tetapi skalanya meledak pada tahun 2024. Data makalah CMU menunjukkan bahwa sebelum tahun 2022, repositori yang terlibat dalam aktivitas Star palsu tidak lebih dari 10 per bulan, dan memuncak pada Juli 2024 menjadi 3.216 repositori dan 30.779 akun partisipan. Per Juli 2024, 16,66% repositori dengan lebih dari 50 Star pernah terlibat dalam aktivitas Star palsu.
Akurasi deteksi tim penelitian divalidasi secara tidak langsung oleh perilaku GitHub sendiri: 90,42% repositori yang ditandai StarScout telah dihapus, dan 57,07% akun yang ditandai telah dibersihkan.
Dalam klasifikasi penggunaan Star palsu, sebagian besar digunakan untuk mempromosikan repositori perangkat lunak berbahaya phishing yang berumur pendek. Namun dalam kategori non-jahat, proyek AI dan LLM menempati peringkat pertama, dengan total Star palsu mencapai 177.000, melampaui proyek blockchain/mata uang kripto. Makalah tersebut mencatat bahwa banyak dari proyek-proyek ini adalah "repositori makalah akademis atau produk perusahaan rintisan terkait LLM". Yang lebih krusial, 78 repositori yang terdeteksi memiliki aktivitas Star palsu pernah muncul di halaman GitHub Trending, membuktikan bahwa Star yang dibeli memang berhasil memanipulasi algoritme rekomendasi platform.
Harga per Star Minimal 3 Sen: Pasar Pembelian Star yang Beroperasi Terbuka
Ini bukanlah transaksi dark web. Laporan investigasi mengonfirmasi setidaknya sepuluh situs web yang secara terbuka menjual GitHub Star, termasuk SocialPlug.io, Buy.fans, Boost-Like.store, dll. Ada 24 layanan pembelian Star yang aktif di Fiverr, mulai dari paket dasar 5 dolar hingga paket "promosi organik" 25 dolar atau lebih.
Harga dibagi menjadi tiga tingkat: tingkat murah (akun baru sekali pakai)每颗 0,03 hingga 0,10 dolar, tingkat menengah 0,20 hingga 0,50 dolar, tingkat premium (akun yang dipelihara berusia bertahun-tahun) 0,80 hingga 0,90 dolar. Layanan premium menjamin "Star tidak hilang" dan garansi pengisian ulang 30 hari. SocialPlug mengklaim telah mengirimkan total 3,1 juta Star, melayani lebih dari 53.000 klien, dan bahkan menyediakan antarmuka API untuk mendukung pembelian massal terprogram.
Platform pertukaran Star seperti GithubStarMate.com dan SafeStarExchange.com menggunakan model tukar-menukar sistem poin, memungkinkan pengguna mendapatkan Star tanpa mengeluarkan uang. Setidaknya ada 7 alat sumber terbuka di GitHub (seperti fake-git-history, commit-bot, dll.), yang khusus digunakan untuk memalsukan grafik riwayat kontribusi. Akun GitHub pra-dibuat dengan riwayat commit 5 tahun dan lencana kontributor Arctic Code Vault dijual sekitar 5.000 dolar di Telegram.
Penelitian Universitas Tsinghua tahun 2020 mencatat operasi grup promosi QQ dan微信 China: grup dengan lebih dari 1.020 anggota menangani sekitar 20 tugas pembelian Star repositori per hari, diperkirakan menghasilkan keuntungan industri 3,4 juta hingga 4,4 juta dolar per tahun.
VC Gunakan Star untuk Menyaring Proyek, Hanya 200 Dolar untuk "Memenuhi" Seed Round
Hubungan antara Star dan pendanaan bukanlah tebakan, tetapi diakui secara terbuka oleh lembaga modal ventura sendiri.
Mitra Redpoint Ventures, Jordan Segall, menganalisis 80 perusahaan alat pengembang dan menemukan bahwa median GitHub Star saat putaran seed funding adalah 2.850, dan 4.980 saat putaran Seri A. Dia dengan jelas menyatakan: "Banyak VC menulis program crawler internal untuk mencari proyek GitHub dengan pertumbuhan Star yang cepat, Star adalah metrik yang paling sering mereka perhatikan."
Angka-angka ini sama saja memberikan daftar belanja yang tepat untuk perusahaan rintisan. Dengan perhitungan Star murah, hanya需 85 hingga 285 dolar untuk membuat 2.850 Star guna mencapai median seed round;需 990 hingga 4.500 dolar untuk mencapai ambang batas Seri A. Dibandingkan dengan skala pendanaan tipikal seed round 1 hingga 10 juta dolar, rasio hasil terhadap investasi adalah antara 3.500 hingga 117.000 kali lipat.
Indeks ROSS (peringkat perusahaan rintisan sumber terbuka) yang dirilis triwulanan oleh Runa Capital semakin memperbesar insentif ini. Menurut TechCrunch, 68% perusahaan yang masuk indeks ROSS mendapatkan investasi pada tahap seed round, dengan total pendanaan yang dilacak mencapai 169 juta dolar. Analisis independen laporan investigasi menemukan bahwa Union Labs, peringkat pertama indeks ROSS Q2 2025 (pertumbuhan Star 54,2 kali lipat, total 74.300 Star), memiliki kecurigaan pembelian Star yang serius: 32,7% Star berasal dari akun nol repositori, 52% dari akun nol pengikut, dan StarScout menandai 47,4% Star-nya sebagai mencurigakan. Sebuah peringkat industri yang banyak dikutip VC, proyek peringkat teratas hampir setengah Star-nya diduga palsu.
Sudah ada contoh nyata yang membuktikan rantai konversi dari Star ke pendanaan: Lovable (sebelumnya GPT Engineer) memperoleh 7,5 juta dolar putaran pre-seed dengan 50.000+ Star, valuasi Seri A 1,8 miliar dolar; Browser-use mendapatkan 1.700 juta dolar seed round setelah memperoleh 50.000 Star dalam tiga bulan; Pangolin masuk Y Combinator dengan 1.000 Star, menyelesaikan pendanaan seed round 4,7 juta dolar dalam delapan bulan.
Penegakan Hukum GitHub yang Asimetris: Hapus Repositori tapi Biarkan Akun
Kebijakan penggunaan yang dapat diterima GitHub secara jelas melarang "interaksi palsu", "manipulasi peringkat", dan pembuatan pasar sekunder untuk Star palsu, bahkan secara khusus melarang perilaku pembelian Star dengan insentif "airdrop cryptocurrency".
Namun penegakannya bersifat pasif dan asimetris. GitHub menghapus 90,42% repositori yang ditandai StarScout, tetapi hanya membersihkan 57,07% akun pelaksana. Sebagian besar "tenaga kerja" industri Star palsu tetap utuh. Setelah Dagster merilis laporan investigasi pada tahun 2023, akun Star palsu terkait dihapus dalam 48 jam — tetapi ini adalah respons setelah paparan publik, bukan hasil deteksi aktif.
Tim penelitian CMU menyarankan GitHub untuk menggunakan metrik popularitas tertimbang berbasis sentralitas jaringan sebagai pengganti penghitungan Star mentah, untuk melumpuhkan ekonomi Star palsu dari strukturnya. GitHub hingga kini belum menerapkannya.
Ini membentuk loop umpan balik yang memperkuat diri sendiri: VC menggunakan Star sebagai sinyal penyaringan → Perusahaan rintisan membeli Star → VC melihat popularitas palsu → Lebih banyak VC mengadopsi pelacakan Star → Lebih banyak perusahaan rintisan membeli Star. Angka patokan yang dirilis secara terbuka oleh Redpoint (seed round 2.850, Seri A 4.980) sama saja memberikan daftar belanja dengan harga terang untuk perusahaan rintisan.
Seperti yang dikatakan seorang komentator dalam laporan investigasi: "Jumlah Star bisa dipalsukan, tetapi sebuah perbaikan bug yang menghemat akhir pekan orang lain tidak bisa dipalsukan."
