Chi 200 USD để mua Star, lừa đảo VC hàng chục triệu USD: Toàn bộ chuỗi sản xuất sao giả trên GitHub bị phơi bày

marsbitXuất bản vào 2026-04-21Cập nhật gần nhất vào 2026-04-21

Tóm tắt

Theo nghiên cứu từ Đại học Carnegie Mellon, GitHub đang tồn tại khoảng 6 triệu sao (Star) giả, liên quan đến 18.600 kho lưu trữ và 301.000 tài khoản, với các dự án AI/LLM là nhóm bị ảnh hưởng nặng nề nhất. Các trang web như SocialPlug.io công khai bán sao với giá chỉ từ 0,03 USD/sao. Chỉ với 200 USD, một dự án có thể mua đủ 2.850 sao - ngưỡng trung bình để gọi vốn seed theo thống kê từ Redpoint Ventures. Nhiều VC sử dụng số sao làm tiêu chí đánh giá, dẫn đến các startup gian lận để thu hút đầu tư, với tỷ lệ lợi nhuận lên tới 117.000 lần. Dù GitHub có chính sách cấm, việc thực thi không đồng đều khiến nhiều tài khoản gian lận vẫn hoạt động.

Tác giả: Claude, Deep Tide TechFlow

Dẫn nhập Deep Tide: Nghiên cứu được bình duyệt từ Đại học Carnegie Mellon (CMU) phát hiện khoảng 6 triệu sao giả trên GitHub, liên quan đến 18.6 nghìn kho lưu trữ và 301 nghìn tài khoản, với các dự án AI/LLM là danh mục tạo sao không độc hại lớn nhất. Giá thị trường sao giả có thể thấp đến 0.03 USD mỗi sao, trong khi dữ liệu từ Redpoint cho thấy số sao trung bình của các dự án vòng hạt giốc do VC tài trợ là 2.850 sao — chỉ cần chi chưa đến 200 USD là có thể "mua" được một mức độ nổi tiếng ảo đạt ngưỡng vòng hạt giống.

GitHub Star (lượt thích) đang trở thành một trò lừa đảo được đóng gói tinh vi.

Theo báo cáo điều tra được Awesome Agents công bố ngày 13 tháng 4, một chuỗi công nghiệp ngầm xoay quanh GitHub Star đã hoạt động công khai: các bài báo học thuật định lượng quy mô vấn đề, hơn chục trang web công khai rao bán Star, còn các tổ chức mạo hiểm (VC) thì trực tiếp đưa số lượng Star vào quyết định sàng lọc dự án.

Nhóm điều tra đã xác minh độc lập 20 kho lưu trữ và phát hiện một số dự án có từ 36% đến 76% số sao đến từ các tài khoản không có người theo dõi, tỷ lệ fork trên star thấp hơn một phần mười so với đường cơ sở của các dự án hữu cơ.

Nền tảng học thuật cốt lõi của báo cáo này đến từ bài báo được bình duyệt đồng cấp, được công bố tại ICSE 2026 (Hội nghị Kỹ thuật Phần mềm Quốc tế) bởi nhóm nghiên cứu hợp tác giữa CMU, Đại học Bang North Carolina và công ty Socket. Công cụ phát hiện StarScout do nhóm nghiên cứu phát triển đã phân tích 20TB siêu dữ liệu GitHub (6.7 tỷ sự kiện, 326 triệu sao, bao phủ từ năm 2019 đến 2024), cuối cùng đánh dấu khoảng 6 triệu sao giả đáng ngờ, 18.6 nghìn kho lưu trữ liên quan và khoảng 301 nghìn tài khoản tham gia.

6 triệu sao giả: Bùng nổ vào năm 2024, dự án AI là điểm nóng

Sao giả không phải là hiện tượng mới, nhưng quy mô của nó đã bùng nổ vào năm 2024. Dữ liệu từ bài báo CMU cho thấy, trước năm 2022, mỗi tháng có không quá 10 kho lưu trữ liên quan đến hoạt động sao giả, nhưng đến tháng 7/2024, con số này đã tăng vọt lên 3.216 kho lưu trữ và 30.779 tài khoản tham gia. Tính đến tháng 7/2024, trong số các kho lưu trữ có trên 50 sao, 16.66% từng tham gia hoạt động sao giả.

Độ chính xác của công cụ phát hiện đã được xác minh gián tiếp bởi hành vi của chính GitHub: 90.42% kho lưu trữ bị StarScout đánh dấu đã bị xóa, và 57.07% tài khoản bị đánh dấu đã bị dọn dẹp.

Trong phân loại mục đích sử dụng sao giả, phần lớn được dùng để quảng bá các kho lưu trữ phần mềm độc hại lừa đảo tồn tại ngắn ngủi. Nhưng trong danh mục không độc hại, các dự án liên quan đến AI và LLM xếp hạng nhất, với tổng số sao giả lên tới 177.000 sao, vượt qua các dự án blockchain/tiền mã hóa. Bài báo chỉ ra rằng, nhiều trong số các dự án này "là kho lưu trữ bài báo học thuật hoặc sản phẩm của các công ty khởi nghiệp liên quan đến LLM". Quan trọng hơn, 78 kho lưu trữ bị phát hiện có hoạt động sao giả từng lên trang GitHub Trending, chứng minh rằng việc mua sao thực sự có thể thao túng thành công thuật toán đề xuất của nền tảng.

Một sao giá thấp nhất 3 cent: Thị trường mua bán sao công khai

Đây không phải là giao dịch trên dark web. Báo cáo điều tra xác nhận, ít nhất hơn chục trang web công khai bán GitHub Star, bao gồm SocialPlug.io, Buy.fans, Boost-Like.store, v.v. Trên Fiverr có 24 dịch vụ tạo sao đang hoạt động, từ gói cơ bản 5 USD đến các gói "quảng bá hữu cơ" trên 25 USD.

Giá được chia thành ba mức: giá rẻ (tài khoản mới dùng một lần) từ 0.03 đến 0.10 USD mỗi sao, mức trung bình từ 0.20 đến 0.50 USD, mức cao cấp (tài khoản nuôi có lịch sử nhiều năm) từ 0.80 đến 0.90 USD. Dịch vụ cao cấp cam kết "sao không mất" và bảo hành bù số lượng trong 30 ngày. SocialPlug tuyên bố đã giao tổng cộng 3.1 triệu sao, phục vụ hơn 53.000 khách hàng, thậm chí cung cấp giao diện API hỗ trợ mua hàng loạt theo chương trình.

Các nền tảng trao đổi sao như GithubStarMate.com và SafeStarExchange.com thì sử dụng chế độ tích điểm trao đổi lẫn nhau, cho phép người dùng trao đổi sao mà không cần tiền. Trên GitHub còn tồn tại ít nhất 7 công cụ mã nguồn mở (như fake-git-history, commit-bot, v.v.), chuyên dùng để giả mạo lịch sử đóng góp. Các tài khoản GitHub được làm sẵn với lịch sử commit 5 năm và huy hiệu Arctic Code Vault được rao bán trên Telegram với giá khoảng 5.000 USD.

Một nghiên cứu năm 2020 của Đại học Thanh Hoa ghi nhận cách hoạt động của các nhóm quảng bá trên QQ và WeChat tại Trung Quốc: các nhóm có hơn 1.020 thành viên xử lý khoảng 20 nhiệm vụ tạo sao mỗi ngày cho các kho lưu trữ, ước tính tạo ra lợi nhuận ngành từ 3.4 đến 4.4 triệu USD mỗi năm.

VC dùng Star để sàng lọc dự án, chỉ 200 USD là có thể "đạt chuẩn" vòng hạt giống

Mối quan hệ giữa Star và gọi vốn không phải là phỏng đoán, mà chính các tổ chức VC đã công khai thừa nhận.

Đối tác Redpoint Ventures Jordan Segall sau khi phân tích 80 công ty công cụ dành cho nhà phát triển đã phát hiện ra rằng, số sao GitHub trung bình tại thời điểm gọi vốn vòng hạt giống là 2.850 sao, và ở vòng A là 4.980 sao. Ông nói rõ: "Nhiều VC viết các chương trình thu thập dữ liệu nội bộ để tìm các dự án GitHub có tốc độ tăng sao nhanh, Star là chỉ số họ thường quan tâm nhất."

Những con số này tương đương với việc cung cấp cho công ty khởi nghiệp một danh sách mua hàng chính xác. Tính theo giá sao rẻ, chỉ cần chi 85 đến 285 USD là có thể tạo ra 2.850 sao để đạt mức trung bình vòng hạt giống; chi 990 đến 4.500 USD có thể đạt ngưỡng vòng A. So với quy mô gọi vốn điển hình của vòng hạt giống từ 1 đến 10 triệu USD, tỷ lệ lợi nhuận trên chi phí nằm trong khoảng từ 3.500 đến 117.000 lần.

Chỉ số ROSS (Bảng xếp hạng công ty khởi nghiệp mã nguồn mở) do Runa Capital công bố hàng quý càng làm gia tăng động lực này. Theo TechCrunch, 68% công ty lọt vào bảng xếp hạng ROSS Index đã nhận được đầu tư ở giai đoạn vòng hạt giống, với tổng số vốn được theo dõi lên tới 169 triệu USD. Phân tích độc lập của báo cáo điều tra phát hiện, Union Labs đứng đầu bảng xếp hạng ROSS Index Q2/2025 (số sao tăng 54.2 lần, tổng 74.300 sao) có nghi ngờ tạo sao nghiêm trọng: 32.7% số sao đến từ các tài khoản không có kho lưu trữ, 52% từ các tài khoản không có người theo dõi, StarScout đánh dấu 47.4% số sao của họ là đáng ngờ. Một bảng xếp hạng ngành được VC trích dẫn rộng rãi, và dự án đứng đầu có gần một nửa số sao bị nghi ngờ là giả mạo.

Đã có các trường hợp thực tế chứng minh chuỗi chuyển đổi từ Star sang gọi vốn: Lovable (trước đây là GPT Engineer) dựa vào 50.000+ Star để nhận được 7.5 triệu USD vòng pre-seed, định giá 1.8 tỷ USD ở vòng A; Browser-use nhận được 17 triệu USD vòng hạt giống sau khi đạt 50.000 sao trong ba tháng; Pangolin dựa vào 1.000 sao để vào Y Combinator và hoàn thành vòng gọi vốn hạt giống 4.7 triệu USD trong vòng tám tháng.

GitHub thi hành không đối xứng: Xóa kho lưu trữ nhưng để lại tài khoản

Chính sách sử dụng chấp nhận được của GitHub cấm rõ ràng "tương tác giả mạo", "thao túng xếp hạng" và việc thiết lập thị trường thứ cấp cho sao giả, thậm chí đặc biệt cấm hành vi tạo sao với động lực là "airdrop tiền mã hóa".

Nhưng việc thi hành là thụ động và không đối xứng. GitHub đã xóa 90.42% kho lưu trữ bị StarScout đánh dấu, nhưng chỉ dọn dẹp 57.07% số tài khoản thực thi. Phần lớn "lực lượng lao động" của ngành công nghiệp sao giả vẫn còn nguyên vẹn. Sau khi Dagster công bố báo cáo điều tra vào năm 2023, các tài khoản sao giả liên quan đã bị xóa trong vòng 48 giờ — nhưng đây là phản ứng sau khi bị phơi bày công khai, chứ không phải kết quả của việc phát hiện chủ động.

Nhóm nghiên cứu CMU đề nghị GitHub sử dụng chỉ số độ nổi tiếng có trọng số dựa trên tính trung tâm mạng thay thế cho việc đếm sao thô, từ đó phá vỡ cấu trúc nền kinh tế sao giả. GitHub cho đến nay vẫn chưa thực hiện.

Điều này tạo thành một vòng lặp tự củng cố: VC dùng Star làm tín hiệu sàng lọc → Công ty khởi nghiệp tạo sao → VC thấy mức độ nổi tiếng ảo → Nhiều VC hơn sử dụng theo dõi Star → Nhiều công ty khởi nghiệp hơn tạo sao. Các con số chuẩn được Redpoint công bố công khai (2.850 cho hạt giống, 4.980 cho vòng A) tương đương với việc đưa cho các công ty khởi nghiệp một danh sách mua hàng được định giá rõ ràng.

Như một nhà bình luận trong báo cáo điều tra đã nói: "Số lượng sao có thể làm giả, nhưng một thứ giúp người khác tiết kiệm được việc sửa lỗi vào cuối tuần thì không thể làm giả."

Câu hỏi Liên quan

QNghiên cứu của Đại học Carnegie Mellon (CMU) đã phát hiện bao nhiêu ngôi sao GitHub giả mạo?

ANghiên cứu đã phát hiện khoảng 6 triệu ngôi sao GitHub giả mạo, liên quan đến 186.000 kho lưu trữ và 301.000 tài khoản.

QDự án nào là loại dự án không độc hại lớn nhất sử dụng sao giả theo báo cáo?

ACác dự án AI/LLM (Trí tuệ nhân tạo/Mô hình ngôn ngữ lớn) là loại dự án không độc hại lớn nhất sử dụng sao giả, với tổng số lên tới 177.000 ngôi sao.

QGiá thị trường cho một ngôi sao GitHub giả là bao nhiêu?

AGiá của một ngôi sao giả rất rẻ, có thể thấp đến 0.03 USD cho các tài khoản mới được tạo một lần. Các gói cao cấp hơn với tài khoản lâu năm có giá từ 0.80 đến 0.90 USD mỗi sao.

QTheo dữ liệu từ Redpoint Ventures, số sao GitHub trung bình cho một vòng gọi vốn hạt giống (seed round) là bao nhiêu?

ATheo dữ liệu từ Redpoint Ventures, số sao GitHub trung bình (median) cho một vòng gọi vốn hạt giống là 2.850 sao.

QGitHub đã phản ứng như thế nào với vấn đề sao giả theo báo cáo?

AGitHub có chính sách cấm rõ ràng các tương tác giả mạo và thao túng xếp hạng. Tuy nhiên, việc thực thi bị cho là thụ động và không đồng đều. Họ đã xóa 90.42% các kho lưu trữ bị đánh dấu là có sao giả, nhưng chỉ xóa 57.07% các tài khoản thực hiện hành vi này.

Nội dung Liên quan

Sự phân bổ giá trị của stablecoin

Tác giả phân tích sự phân phối giá trị trong ngành stablecoin, chia thành 4 tầng: 1. **Lớp phát hành** (như Tether, Circle): Đúc stablecoin, nắm tài sản dự trữ, hưởng chênh lệch lãi suất. 2. **Lớp cơ sở hạ tầng** (như Bridge, BVNK): Kết nối stablecoin với hệ thống tài chính thực - xử lý nạp/rút tiền pháp định, đối ngân hàng, tuân thủ, quản lý tài sản. Đây là công việc phức tạp, tạo ra rào cản cạnh tranh. 3. **Lớp thu nhận/phân phối** (như Stripe, Coinbase): Tích hợp stablecoin vào hệ thống doanh nghiệp, quản lý thanh toán. 4. **Lớp ứng dụng**: Người dùng và doanh nghiệp cuối cùng. Lớp phát hành thu lợi nhuận lớn nhất. Tuy nhiên, tác giả nhấn mạnh tầm quan trọng tiềm năng của **lớp cơ sở hạ tầng**. Khó khăn thực sự không nằm ở chuyển tiền trên blockchain, mà ở việc kết nối nó với thế giới thực: đối ngân hàng, xử lý quy định, tích hợp vào quy trình nghiệp vụ doanh nghiệp. Các công ty như Stripe (mua lại Bridge) và Mastercard (mua lại BVNK) đang tranh giành để trở thành cổng kết nối mặc định này. Lớp cơ sở hạ tầng hiện ở giai đoạn đầu, vất vả, cần vốn, và bị kẹt giữa các tầng khác. Nhưng một khi stablecoin trở thành phương thức tài chính phổ biến, những công ty đã xây dựng được mạng lưới kết nối rộng khắp và sâu vào hệ thống doanh nghiệp sẽ có vị thế mạnh và quyền định giá.

marsbit4 giờ trước

Sự phân bổ giá trị của stablecoin

marsbit4 giờ trước

Tại sao NVIDIA không thiếu tiền nhưng vẫn muốn vay 200 tỷ USD?

Tóm tắt: Mặc dù có dòng tiền tự do mạnh mẽ (khoảng 486 tỷ USD trong quý gần nhất) và không thiếu tiền mặt, NVIDIA vẫn có kế hoạch phát hành ít nhất 20 tỷ USD trái phiếu (hối phiếu cao cấp) với kỳ hạn lên đến 30 năm. Động thái này không phải vì thiếu vốn, mà là một chiến lược quản lý vốn chủ động, tận dụng xếp hạng tín dụng AA vừa được nâng cấp để huy động vốn dài hạn với chi phí thấp. Mục đích của việc vay nợ bao gồm tái cấp vốn, đầu tư vào cơ sở hạ tầng và trung tâm dữ liệu AI, nghiên cứu & phát triển, thanh toán trước cho chuỗi cung ứng và các khoản đầu tư chiến lược. So với việc phát hành thêm cổ phiếu (làm loãng lợi ích của cổ đông hiện tại), việc phát hành trái phiếu được coi là có lợi hơn cho cổ đông khi NVIDIA có thể vừa duy trì các chương trình mua lại cổ phiếu và cổ tức lớn, vừa tài trợ cho sự mở rộng dài hạn. Hành động của NVIDIA phản ánh một xu hướng rộng hơn trong ngành công nghệ, nơi các gã khổng lồ như Alphabet, Meta và Amazon cũng đang sử dụng vốn vay để tài trợ cho chu kỳ chi tiêu vốn nặng về AI. Điều này cho thấy câu chuyện đầu tư AI đang chuyển sang một giai đoạn mới, đòi hỏi nguồn vốn dài hạn và quy mô lớn cho cơ sở hạ tầng. Thách thức chính trong tương lai là khả năng sinh lời từ các khoản đầu tư AI này phải đủ cao và đúng hạn để biện minh cho kỳ vọng và cấu trúc vốn mới.

marsbit5 giờ trước

Tại sao NVIDIA không thiếu tiền nhưng vẫn muốn vay 200 tỷ USD?

marsbit5 giờ trước

Liberland Sa Thải Bộ Trưởng Công Nghệ Sau Vụ Cố Gắng Chiếm Quyền Blockchain Và Trang Web

Theo một nghị quyết chính thức được công bố, Quốc hội Liberland - một dự án vi quốc gia - đã bỏ phiếu bãi nhiệm Bộ trưởng Công nghệ Dorian Stern Vukotić. Ông bị cáo buộc thực hiện một loạt hành động nhằm giành quyền kiểm soát cơ sở hạ tầng kỹ thuật của dự án, bao gồm việc gỡ bỏ bảo vệ đa chữ ký (multisig) trên tài khoản quản trị Sudo, cố gắng chiếm quyền điều khiển tên miền Liberland.org, chặn quyền bỏ phiếu của Tổng thống Vít Jedlička và phát hành token trái phép. Sự việc này nêu bật những rủi ro quản trị thực tế trong không gian crypto, vượt ra ngoài các lỗ hổng hợp đồng thông minh đơn thuần. Nó liên quan đến quyền kiểm soát các điểm then chốt ngoài chuỗi như tài khoản quản trị, tên miền website, quyền truy cập biểu quyết và thiết kế đa chữ ký. Tranh chấp tại Liberland trở thành một nghiên cứu điển hình về cách thức các dự án phụ thuộc vào sự pha trộn giữa quản trị on-chain và các cơ chế kiểm soát off-chain. Bài học chính cho người dùng crypto là những tuyên bố về phi tập trung cần được kiểm chứng với thực tế vận hành. Nếu chỉ một số ít người có thể kiểm soát các chức năng quản trị hoặc quyền truy cập then chốt, thì hệ thống quản trị vẫn có thể dễ bị tổn thương. Sự kiện này phản ánh xu hướng rộng hơn trong thị trường crypto, nơi cơ sở hạ tầng, bảo mật và quản trị ngày càng trở nên quan trọng ngang bằng với biến động giá.

bitcoinist5 giờ trước

Liberland Sa Thải Bộ Trưởng Công Nghệ Sau Vụ Cố Gắng Chiếm Quyền Blockchain Và Trang Web

bitcoinist5 giờ trước

Làm Thế Nào Để Nghiên Cứu Tốt: Rèn Luyện Những Khả Năng Thực Sự Có Thể 'Luyện Tập Chủ Động'

Chưa ai thực sự dạy bạn cách làm nghiên cứu. Hầu hết mọi người chỉ học cách "trông giống" một nhà nghiên cứu, trong khi năng lực thực sự là sự tích lũy các kỹ năng có thể rèn luyện có chủ ý. **Chọn vấn đề của riêng bạn:** Đừng chỉ tiếp nhận vấn đề từ người khác. Hãy bắt đầu từ một kết quả bạn thực sự muốn đạt được và suy ngược để thiết kế thí nghiệm. Điều này tạo ra tính độc đáo. "Khiếu thẩm mỹ" trong nghiên cứu giống như một cơ bắp, có thể phát triển thông qua việc dự đoán kết quả thí nghiệm và kiểm tra lại các dự đoán đó. **Nâng cấp đầu vào:** Đừng chỉ đọc các xu hướng mới nhất. Tài liệu cũ (như bài phát biểu của Claude Shannon năm 1952) và các lĩnh vực rộng (thần kinh học, thống kê, kiến ​​trúc máy tính) thường mang lại những hiểu biết sâu sắc có giá trị. Hãy đọc chính bài báo gốc, đặc biệt là phần phụ lục và hạn chế. **Viết mọi thứ xuống:** Viết lách là cơ chế phòng thủ rẻ nhất chống lại sự tự lừa dối. Nó phơi bày những lỗ hổng trong suy nghĩ. Giữ một cuốn nhật ký ghi lại giả thuyết, cài đặt, dự đoán, kết quả và bài học. Xem lại nó sẽ dạy bạn sự khiêm tốn. Tóm lại, nghiên cứu hiệu quả dựa trên việc chủ động chọn vấn đề, mở rộng nguồn tri thức và ghi chép trung thực để rèn giũa tư duy.

marsbit6 giờ trước

Làm Thế Nào Để Nghiên Cứu Tốt: Rèn Luyện Những Khả Năng Thực Sự Có Thể 'Luyện Tập Chủ Động'

marsbit6 giờ trước

Tăng Trưởng Vượt 150% Trong Nửa Tháng, Đằng Sau Sự Bùng Nổ Của Backpack

Backpack (BP), token của sàn giao dịch cùng tên, đã tăng hơn 150% trong nửa tháng, đạt mức cao 0,48 USD. Động lực chính đến từ việc ra mắt nền tảng Backpack Securities vào đầu tháng 6, cung cấp dịch vụ môi giới cổ phiếu Mỹ được quy định và hỗ trợ token hóa tài sản truyền thống. Sự kiện đáng chú ý là việc phát hành token SPCX, được neo 1:1 với cổ phiếu SpaceX thật, trên Solana vào ngày 12/6. Sản phẩm này cho phép giao dịch trên chuỗi 24/7 và có thể đổi ngược về tài khoản chứng khoán truyền thống, tạo cầu nối giữa thị trường vốn truyền thống và DeFi. BP có tổng cung 10 tỷ token với cơ chế phân phối độc đáo: 25% đầu tiên được airdrop cho cộng đồng, 37.5% tiếp theo sẽ mở khóa theo các cột mốc phát triển sản phẩm, và 37.5% cuối cùng sẽ được khóa cho đến sau IPO. Đội ngũ phát triển không nhận token ngay từ đầu. Người dùng có thể stake BP để nhận quyền chuyển đổi token thành cổ phần công ty khi công ty IPO, cùng các đặc quyền khác. Hiện khoảng 66% lượng token lưu hành đang được stake. Mặc dù từng có tranh cãi về cơ chế airdrop, sự chú ý của thị trường hiện đang dồn vào sự mở rộng thực tế của nền tảng và tiềm năng lâu dài của token BP trong hệ sinh thái mới kết hợp chứng khoán và tài sản token hóa.

marsbit6 giờ trước

Tăng Trưởng Vượt 150% Trong Nửa Tháng, Đằng Sau Sự Bùng Nổ Của Backpack

marsbit6 giờ trước

Giao dịch

Giao ngay
Hợp đồng Tương lai
活动图片