CMU等曝光GitHub「地下产业链」！450万个Star都是刷的

原标题：CMU等曝光GitHub「地下产业链」！450万个Star都是刷的
文章来源：新智元
内容字数：8653字

GitHub虚假Star泛滥：StarScout揭露450万虚假点赞背后的

近年来，GitHub平台上虚假Star数量激增，严重威胁着开源项目的透明度和声誉。卡内基梅隆大学（CMU）团队开发的StarScout工具，通过系统分析，揭示了这一问题的严重性及其对软件供应链安全的潜在影响。

1. 虚假Star的规模与危害

StarScout的研究结果令人震惊：GitHub上约有450万个Star被认定为虚假，其中15%的获得50个Star的仓库都存在造假行为。这些虚假Star通常由恶意账户批量刷取，目的是吸引关注，甚至在项目中注入恶意代码，攻击试图复现项目的开发者。购买GitHub Star的服务甚至明码标价，只需几小时甚至立即就能获得大量虚假Star，这使得虚假Star被用于、垃圾邮件发送、简历造假及恶意软件传播等非法活动。

2. 虚假Star的特征与识别

StarScout通过分析发现，虚假Star活动中，仓库名称经常包含”auto”、”bot”、”2024″、”telegram”、”free”等关键词，且多与盗版软件或游戏作弊相关。参与虚假Star活动的账户通常缺乏GitHub组织、公司关系和个人网站，往往使用默认头像。这些特征为识别虚假Star提供了重要线索。

StarScout利用分布式算法，识别两种与虚假Star相关的异常行为：低活动特征（只为一个仓库点Star后不再活跃）和同步特征（多个账户在短时间内同时为同一组仓库点Star）。StarScout通过构建用户和代码仓库的双向图，并运用CopyCatch算法，有效地检测出这些异常模式，最终识别出450万个虚假Star，涉及132万个账户。

3. 虚假Star的长期影响

研究人员还调查了虚假Star是否能像真实Star一样产生“马太效应”，即吸引更多真实Star。结果表明，虽然虚假Star在短期内（两个月内）可以略微增加真实Star数量，但其效果远低于真实Star，而且长期来看反而会产生负面影响。因此，购买虚假Star并不能真正提升项目热度，反而可能适得其反。

4. StarScout的结论与建议

StarScout的研究结果表明，GitHub Star并非可靠的项目质量指标，不应作为高风险决策的唯一参考。开发者应专注于提升项目本身的质量和维护，而非追求虚假的Star数量。GitHub平台也应加强对虚假Star活动的监控和打击力度，以维护开源社区的健康发展。

5. 虚假Star交易的运作模式

研究发现GitHub Star至少通过三种方式运作：商家公开出售；用户之间互换；通过奖励激励用户加Star。这些行为都违反了GitHub的使用政策。

联系作者

文章来源：新智元
作者微信：
作者简介：智能+中国主平台，致力于推动中国从互联网+迈向智能+新纪元。重点关注人工智能、机器人等前沿领域发展，关注人机融合、人工智能和机器人对人类社会与文明进化的影响，领航中国新智能时代。