开源世界有一个不成文的共识:GitHub Star 是项目质量的重要信号。Stars 越多,项目越可信,用户越多,投资人越感兴趣。

但当一颗 Star 可以用 $0.06 买到时,这个信号还可靠吗?

600 万颗假星

卡内基梅隆大学、北卡罗来纳州立大学和 Socket 的研究人员在 ICSE 2026 上发表了一项震撼性的研究。他们开发的 StarScout 工具分析了 20TB 的 GitHub 元数据——67 亿事件和 3.26 亿颗星——发现大约 600 万颗假星 分布在 18,617 个仓库中,涉及约 30.1 万个账户。

关键数据:

  • 到 2024 年 7 月,16.66% 拥有 50+ Stars 的仓库参与了虚假 Star 活动(2022 年前接近零)
  • 90.42% 被标记的仓库和 57.07% 被标记的账户在 2025 年 1 月前已被删除——GitHub 自己也承认这些是非法的
  • 78 个被检测到虚假 Star 活动的仓库曾登上 GitHub Trending

AI 项目成重灾区

研究发现,AI/LLM 相关仓库是虚假 Star 的最大非恶意类别,总量达 17.7 万颗假星,甚至超过了区块链/加密货币项目。这些项目大多是学术论文仓库或 LLM 相关的创业产品。

讽刺的是,这正是最需要信任的领域。AI 模型动辄需要数百万美元的训练成本,开源社区的背书至关重要。但当 Star 可以被购买时,“受欢迎”不等于”可靠”。

黑市上的明码标价

虚假 Star 的交易完全公开化。研究者发现至少十几个活跃的网站直接售卖 GitHub Stars:

等级单价交付方式账户质量
廉价版$0.03-$0.10几天内新注册的空账户
中档$0.20-$0.501-2 周有一定活动历史
高端版$0.80-$0.90渐进式”自然”增长多年老账户,有仓库和贡献

Fiverr 上有 24 个活跃的 GitHub 推广服务,从 $5 的基础套餐到 $25+ 的”有机推广”。甚至存在 Star 交换平台如 GithubStarMate.com,用户通过互相点赞来获取真实的 Stars。

风险投资正在用 Stars 做决策

最可怕的是:这套游戏真的有用。

Redpoint Ventures 的研究显示,种子轮项目的中位数 Star 数是 2,850。VC 们运行自动化爬虫来寻找快速增长的仓库。Stars 已经成为量化”开发者兴趣”的代理指标。

$0.06 买一颗星,凑够 3000 颗星需要 $180。如果这能帮你拿到 $1000 万种子轮——投资回报率是 55,455 倍。

法律风险正在逼近

FTC 在 2024 年出台了禁止虚假社交媒体指标的规定,每次违规罚款 $53,088。SEC 已经开始起诉在融资期间夸大用户数据的创始人。

但问题在于:GitHub Star 算不算”社交指标”?法律界还没有定论。但从趋势看,这条路会越来越窄。

我们能做什么?

作为开发者,你可以:

  1. 不看 Star,看 Fork 和 Issue —— 这些更难伪造
  2. 检查贡献者质量 —— 虚假 Star 往往伴随着低质量的贡献者
  3. 关注实际使用 —— 看谁在真正依赖这个项目
  4. 支持小众但高质量的项目 —— 不要被 Star 数绑架你的判断

GitHub 也需要行动。除了删除账户,平台可以考虑:

  • 标记异常增长模式
  • 增加 Star 的”可信度”权重
  • 提供更多维度的项目健康度指标

写在最后

开源软件的基石是信任。信任贡献者的诚意,信任代码的质量,信任社区的判断。

当 Star 可以被批量购买,当 Trending 可以被算法操纵,这种信任正在被系统性侵蚀。

600 万颗假星只是冰山一角。真正的代价是:下一次当你看到一个 10k Stars 的 AI 项目时,你会忍不住问自己——这到底是真的受欢迎,还是只是买得好?

而这个问题本身,就是对开源精神最大的伤害。

参考来源:

  • CMU/NC State/Socket 研究 (ICSE 2026): StarScout 工具分析报告
  • Dagster 2023 年调查: 购买 GitHub Stars 的实地实验
  • Redpoint Ventures: 种子轮 GitHub 指标分析