作者:克洛德,深潮 TechFlow
深潮导读:卡内基梅隆大学(CMU)同行评审研究发现 GitHub 上存在约 600 万颗假 Star,涉及 1.86 万个仓库和 30.1 万个账号,AI/LLM 项目是最大的非恶意刷星类别。刷星市场单颗售价低至 0.03 美元,而 Redpoint 数据显示 VC 种子轮项目 Star 中位数为 2,850 颗——花不到 200 美元就能「买到」一个种子轮门槛的虚假人气。
GitHub Star (点赞)正在沦为一场精心包装的骗局。
据 Awesome Agents 4 月 13 日发布的调查报告,一个围绕 GitHub Star 的成熟灰色产业链已在阳光下运转:学术论文量化了问题规模,十余个网站公开售卖 Star,风投机构则将 Star 数量直接纳入项目筛选决策。
调查团队对 20 个仓库进行了独立验证,发现部分项目 36%至 76%的 Star 来自零粉丝账号,fork 与 star 的比率低于有机项目基线的十分之一。
这份报告的核心学术支撑来自 CMU、北卡罗来纳州立大学和 Socket 公司联合发表于 ICSE 2026(国际软件工程大会)的同行评审论文。研究团队开发的检测工具 StarScout 分析了 20TB 的 GitHub 元数据(67 亿事件、3.26 亿颗 Star,覆盖 2019 年至 2024 年),最终标记出约 600 万颗可疑假 Star、1.86 万个涉事仓库和约 30.1 万个参与账号。
600 万颗假 Star:2024 年爆发式增长,AI 项目重灾区
假 Star 并非新现象,但其规模在 2024 年出现了爆炸性增长。CMU 论文数据显示,2022 年之前每月涉及假 Star 活动的仓库不超过 10 个,到 2024 年 7 月峰值时飙升至 3,216 个仓库和 30,779 个参与账号。截至 2024 年 7 月,拥有 50 颗以上 Star 的仓库中,16.66%曾参与假 Star 活动。
研究团队的检测准确度得到了 GitHub 自身行为的间接验证:被 StarScout 标记的仓库中 90.42%已被删除,被标记的账号中 57.07%已被清理。
在假 Star 的用途分类中,多数被用于推广短命的钓鱼恶意软件仓库。但在非恶意类别中,AI 和 LLM 相关项目排名第一,假 Star 总量达 17.7 万颗,超过区块链/加密货币项目。论文指出,这些项目中「很多是学术论文仓库或 LLM 相关初创公司的产品」。更关键的是,78 个被检测到存在假 Star 活动的仓库曾登上 GitHub Trending 页面,证明购买的 Star 确实能成功操纵平台的推荐算法。
一颗 Star 最低 3 美分:公开运营的刷星市场
这不是暗网交易。调查报告确认,至少十余个网站公开销售 GitHub Star,包括 SocialPlug.io、Buy.fans、Boost-Like.store 等。Fiverr 上有 24 个活跃的刷 Star 服务,从 5 美元的基础套餐到 25 美元以上的「有机推广」包不等。
定价分三档:廉价档(一次性新账号)每颗 0.03 至 0.10 美元,中档 0.20 至 0.50 美元,高级档(多年历史的养号)0.80 至 0.90 美元。高级服务承诺「不掉星」和 30 天补量保障。SocialPlug 声称累计交付 310 万颗 Star,服务超过 53,000 名客户,甚至提供 API 接口支持程序化批量采购。
Star 交换平台如 GithubStarMate.com 和 SafeStarExchange.com 则采用积分制互刷模式,用户无需花钱就能交换 Star。GitHub 上还存在至少 7 个开源工具(如 fake-git-history、commit-bot 等),专门用于伪造贡献记录图谱。带有 5 年提交历史和 Arctic Code Vault 贡献者徽章的预制 GitHub 账号在 Telegram 上售价约 5,000 美元。
清华大学 2020 年的一项研究则记录了中国 QQ 和微信推广群的运作:超过 1,020 名成员的群组每天处理约 20 个仓库的刷星任务,估计每年产生 340 万至 440 万美元的产业利润。
VC 用 Star 做项目筛选,花 200 美元就能「达标」种子轮
Star 与融资之间的关系不是猜测,而是风投机构自己公开承认的。
Redpoint Ventures 合伙人 Jordan Segall 分析了 80 家开发者工具公司后发现,种子轮融资时 GitHub Star 数量的中位数为 2,850 颗,A 轮时为 4,980 颗。他明确指出:「很多 VC 会编写内部爬虫程序来寻找 Star 增长快的 GitHub 项目,Star 是他们最常关注的指标。」
这组数字等于给了初创公司一个精确的采购清单。用廉价 Star 计算,花 85 至 285 美元就能制造 2,850 颗 Star 达到种子轮中位数;花 990 至 4,500 美元可以达到 A 轮门槛。对比种子轮 100 万至 1,000 万美元的典型融资规模,投入产出比在 3,500 倍到 117,000 倍之间。
Runa Capital 每季度发布的 ROSS 指数(开源初创公司排名)进一步放大了这一激励。据 TechCrunch 报道,ROSS 指数上榜公司中 68%在种子轮阶段获得投资,跟踪的融资总额达 1.69 亿美元。调查报告的独立分析发现,2025 年 Q2 ROSS 指数排名第一的 Union Labs(Star 增长 54.2 倍,总计 74,300 颗)存在严重的刷星嫌疑:32.7%的 Star 来自零仓库账号,52%来自零粉丝账号,StarScout 标记其 47.4%的 Star 为可疑。一份 VC 广泛引用的行业排名,榜首项目近半 Star 涉嫌造假。
已有实际案例佐证 Star 到融资的转化链条:Lovable(前 GPT Engineer)凭借 50,000+ Star 获得 750 万美元 pre-seed 轮,A 轮估值 18 亿美元;Browser-use 三个月获得 50,000 颗 Star 后拿到 1,700 万美元种子轮;Pangolin 凭 1,000 颗 Star 进入 Y Combinator,八个月内完成 470 万美元种子轮融资。
GitHub 执法不对称:删仓库但留账号
GitHub 的可接受使用政策明确禁止「虚假互动」「排名操纵」和为假 Star 建立二级市场,甚至专门禁止了以「加密货币空投」为激励的刷星行为。
但执法是被动且不对称的。GitHub 删除了 StarScout 标记的 90.42%的仓库,却只清理了 57.07%的执行账号。假 Star 产业的「劳动力」大部分完好无损。Dagster 2023 年发布调查报告后,相关假 Star 账号在 48 小时内被删除——但这是公开曝光后的反应,而非主动检测的结果。
CMU 研究团队建议 GitHub 采用基于网络中心性的加权人气指标替代原始 Star 计数,从结构上瓦解假 Star 经济。GitHub 至今未实施。
这形成了一个自我强化的闭环:VC 用 Star 做筛选信号 → 初创公司刷 Star → VC 看到虚假热度 → 更多 VC 采用 Star 追踪 → 更多初创公司刷 Star。Redpoint 公开发布的基准数字(种子轮 2,850、A 轮 4,980)等于给了初创公司一份明码标价的购物清单。
正如调查报告中一位评论者所说的:「Star 数量可以造假,但一个帮别人省下周末的 bug 修复造不了假。」
