花 200 美元刷 Star,騙走 VC 千萬美元:GitHub 假星產業鏈全曝光
「Star 數量可以造假,但一個幫別人省下週末的 bug 修復造不了假。」
深潮導讀:卡內基美隆大學(CMU)同儕審查研究發現 GitHub 上存在約 600 萬顆假 Star,涉及 1.86 萬個倉庫和 30.1 萬個帳號,AI/LLM 專案是最大的非惡意刷星類別。刷星市場單顆售價低至 0.03 美元,而 Redpoint 數據顯示 VC 種子輪項目 Star 中位數為 2,850 顆 —— 花不到 200 美元就能「買到」一個種子輪門檻的虛假人氣。
GitHub Star (按讚)正在淪為一場精心包裝的騙局。
根據 Awesome Agents 4 月 13 日發布的調查報告,一個圍繞 GitHub Star 的成熟灰色產業鏈已在陽光下運轉:學術論文量化了問題規模,十個網站公開出售 Star,風投機構則將 Star 數量直接納入專案篩選決策。
調查團隊對 20 個倉庫進行了獨立驗證,發現部分項目 36% 至 76% 的 Star 來自零粉絲帳號,fork 與 star 的比率低於有機項目基線的十分之一。
這份報告的核心學術支撐來自 CMU、北卡羅來納州立大學和 Socket 公司聯合發表於 ICSE 2026(國際軟體工程大會)的同儕審查論文。研究團隊開發的檢測工具 StarScout 分析了 20TB 的 GitHub 元資料(67 億事件、3.26 億顆 Star,涵蓋 2019 年至 2024 年),最終標記約 600 萬顆可疑假 Star、1.86 萬個涉事倉庫和約 30.1 萬個參與帳號。
600 萬顆假 Star:2024 年爆發性成長,AI 計畫重災區
假 Star 並非新現象,但其規模在 2024 年出現了爆炸性成長。 CMU 論文資料顯示,2022 年之前每月涉及假 Star 活動的倉庫不超過 10 個,到 2024 年 7 月高峰時飆升至 3,216 個倉庫和 30,779 個參與帳號。截至 2024 年 7 月,擁有 50 顆以上 Star 的倉庫中,16.66% 曾參與假 Star 活動。
研究團隊的檢測準確度得到了 GitHub 自身行為的間接驗證:被 StarScout 標記的倉庫中 90.42% 已被刪除,被標記的帳號中 57.07% 已被清除。
在假 Star 的用途分類中,多數被用來推廣短命的釣魚惡意軟體倉庫。但在非惡意類別中,AI 和 LLM 相關項目排名第一,假 Star 總量達 17.7 萬顆,超過區塊鏈 / 加密貨幣項目。論文指出,這些項目中「很多是學術論文倉庫或 LLM 相關新創公司的產品」。更關鍵的是,78 個被偵測到有假 Star 活動的倉庫曾登上 GitHub Trending 頁面,證明購買的 Star 確實能成功操縱平台的推薦演算法。
一顆 Star 最低 3 美分:公開營運的刷星市場
這不是暗網交易。調查報告確認,至少有十個網站公開銷售 GitHub Star,包括 SocialPlug.io、Buy.fans、Boost-Like.store 等。 Fiverr 上有 24 個活躍的刷 Star 服務,從 5 美元的基本套餐到 25 美元以上的「自然推廣」包不等。
定價分為三檔:廉價檔(一次性新帳號)每顆 0.03 至 0.10 美元,中檔 0.20 至 0.50 美元,高級檔(多年歷史的養號)0.80 至 0.90 美元。高級服務承諾「不掉星」和 30 天補量保障。 SocialPlug 聲稱累計交付 310 萬顆 Star,服務超過 53,000 名客戶,甚至提供 API 介面支援程式化批量採購。
Star 交換平台如 GithubStarMate.com 和 SafeStarExchange.com 則採用積分制互刷模式,使用者不需花錢就能交換 Star。 GitHub 上還存在至少 7 個開源工具(如 fake-git-history、commit-bot 等),專門用於偽造貢獻記錄圖譜。帶有 5 年提交歷史和 Arctic Code Vault 貢獻者徽章的預製 GitHub 帳號在 Telegram 上售價約 5,000 美元。
清華大學 2020 年的一項研究則記錄了中國 QQ 和微信推廣群的運作:超過 1,020 名成員的群組每天處理約 20 個倉庫的刷星任務,估計每年產生 340 萬至 440 萬美元的產業利潤。
VC 用 Star 做專案篩選,花 200 美元就能「達標」種子輪
Star 與融資之間的關係不是猜測,而是創投機構自己公開承認的。
Redpoint Ventures 合夥人 Jordan Segall 分析了 80 家開發者工具公司後發現,種子輪融資時 GitHub Star 數量的中位數為 2,850 顆,A 輪時為 4,980 顆。他明確指出:「很多 VC 會編寫內部爬蟲程式來尋找 Star 成長快的 GitHub 項目,Star 是他們最常關注的指標。」
這組數字等於給了新創公司一個精確的採購清單。用廉價 Star 計算,花 85 至 285 美元就能製造 2,850 顆 Star 達到種子輪中位數;花 990 至 4,500 美元可以達到 A 輪門檻。對比種子輪 100 萬至 1,000 萬美元的典型融資規模,投入產出比在 3,500 倍到 117,000 倍之間。
Runa Capital 每季發布的 ROSS 指數(開源新創公司排名)進一步放大了這一激勵。根據 TechCrunch 報道,ROSS 指數上榜公司中 68% 在種子輪階段獲得投資,追蹤的融資總額達 1.69 億美元。調查報告的獨立分析發現,2025 年 Q2 ROSS 指數排名第一的 Union Labs(Star 增長 54.2 倍,總計 74,300 顆)存在嚴重的刷星嫌疑:32.7% 的 Star 來自零倉庫帳號,52% 來自零粉絲帳號,StarScout 標記其 47.4% 的 Star 為可疑。一份 VC 廣泛引用的行業排名,榜首項目近半 Star 涉嫌造假。
已有實際案例佐證 Star 到融資的轉換鏈:Lovable(前 GPT Engineer)憑藉 50,000+ Star 獲得 750 萬美元 pre-seed 輪,A 輪估值 18 億美元;Browser-use 三個月獲得 50,000 顆 Star 後拿到 1,700 萬美元;Browser-use 三個月獲得 50,000 顆 Star 後拿到 1,700 萬美元種子憑輪完成八顆 100067 顆 4002020202000 萬美元種子,萬美元種子輪融資。
GitHub 執法不對稱:刪倉庫但留帳號
GitHub 的可接受使用政策明確禁止「虛假互動」「排名操縱」和為假 Star 建立二級市場,甚至專門禁止了以「加密貨幣空投」為激勵的刷星行為。
但執法是被動且不對稱的。 GitHub 刪除了 StarScout 標示的 90.42% 的倉庫,卻只清理了 57.07% 的執行帳號。假 Star 產業的「勞動力」大部分完好無損。 Dagster 2023 年發布調查報告後,相關假 Star 帳號在 48 小時內被刪除-但這是公開曝光後的反應,而非主動偵測的結果。
CMU 研究團隊建議 GitHub 採用基於網路中心性的加權人氣指標取代原始 Star 計數,從結構上瓦解假 Star 經濟。 GitHub 至今未實施。
這形成了一個自我強化的閉環:VC 用 Star 做篩選訊號→ 新創公司刷 Star → VC 看到虛假熱度→ 更多 VC 採用 Star 追蹤→ 更多新創公司刷 Star。 Redpoint 公開發布的基準數字(種子輪 2,850、A 輪 4,980)等於給了新創公司一份明碼標價的購物清單。
正如調查報告中一位評論者所說的:「Star 數量可以造假,但一個幫別人省下週末的 bug 修復造不了假。」
加密貨幣屬於高風險投資,本網站內容均不構成任何投資建議與責任。
掌握虛擬貨幣、區塊鏈大小事
