GitHub刷星产业链调查：AI项目成虚假Star重灾区

GitHub标星的公信力，如今还剩多少？

开源社区的公开秘密是，标星可以购买，其便捷程度甚至超过日常消费。然而，卡内基梅隆大学（CMU）一项被ICSE 2026收录的研究，首次量化了这场“信任危机”的规模：GitHub平台上存在约600万颗虚假标星，波及超过1.8万个代码仓库，背后关联的虚假账号数量超过30万。

回顾GitHub生态，标星“通货膨胀”的迹象早已显现。过去，一个项目获得万星是现象级成就；如今，大量新项目却能轻易跻身高星行列，登上热门榜单。CMU的研究揭示了一个直接原因：购买热度已成为捷径。

更具警示意义的是，研究发现，AI与大语言模型（LLM）领域的开源项目，是虚假标星最集中的板块。

被工具揭开的灰色产业链

CMU研究团队的核心突破，在于开发了名为StarScout的大规模检测工具。该工具通过分析僵尸账号行为、同步批量标星等异常模式，能够高精度识别虚假热度。

基于对2019至2024年全网GitHub数据的扫描，StarScout识别出约600万颗疑似虚假标星，涉及仓库超过1.8万个，检测准确率达81%。一个典型案例显示，某个拥有111颗星的仓库，经核验至少有109颗为虚假。

此类严重“注水”的仓库在平台并不罕见，标志着买星已形成成熟的产业链。根据Dagster在2024年的调查，这项服务已实现分层定价：

基础套餐每颗星成本0.03至0.10美元，主打批量操作；高级服务则定价0.80至0.90美元每颗，采用养号多年的真实感账号，模拟真人行为节奏以规避风控。部分供应商甚至提供“锁星”售后保障，确保虚假热度不被平台清理。

交易渠道也近乎公开。至少有12个独立网站提供此类服务，在Fiverr等自由职业平台上，长期活跃着超过24个卖家，部分支持通过API进行程序化批量采购。

产业链上游更衍生出“账号农场”，专门批量养殖高信誉GitHub账号。一个拥有5年提交记录、带有Arctic Code Vault贡献者徽章的“优质”账号，市价可达5000美元。尽管贡献图谱完全由脚本生成，但其表面数据足以媲美多数真实开发者。

那么，谁是虚假标星的主要买家？CMU研究给出了一个值得行业反思的结论：在非恶意项目中，AI/LLM领域的项目刷星数量位居首位。

造假者甚至精准利用了平台算法。研究统计显示，有78个重度刷星项目凭借虚假热度成功进入GitHub Trending榜单。但数据也证实，假星带来的热度效应通常持续不足两个月，长期来看反而会对项目的真实活跃度产生负面影响。

标星为何成为融资的硬通货？

驱动刷星行为的核心动机，往往与融资直接相关。在开源创业赛道，纯粹的技术优势难以被快速量化评估。因此，GitHub标星数这类直观的外部指标，成了风险投资（VC）进行初步筛选的关键数据点。

Redpoint一位合伙人曾透露行业隐性门槛：开源项目种子轮融资的标星数量中位数约为2850颗，A轮融资则需达到4980颗左右。

由此算一笔经济账：要达到种子轮2850颗星的门槛，按每颗星0.03至0.10美元成本计算，总投入仅需85至285美元。而与之对应的潜在收益，是百万至千万美元量级的融资机会。粗略估算，其最高投资回报率（ROI）可能接近117000倍。极低的造假成本与极高的潜在回报，构成了难以抗拒的诱惑。

以风投机构Runa Capital定期发布的“增长最快开源项目”榜单为例，数据显示68%的上榜项目能成功获得种子轮融资，累计总额达1.69亿美元。然而分析发现，曾位列该榜单第一、拥有74000颗星的明星项目Union Labs，其高达47.4%的标星被判定为疑似虚假。一个关键佐证是，其Fork数与Star数的比值仅为0.052，而健康活跃的开源项目，该比值通常稳定在0.1至0.2之间。

至此，一个恶性循环已然形成：VC依赖标星数筛选项目 → 创业者购买标星美化数据 → VC基于“漂亮”数据强化对此指标的依赖 → 更多创业者效仿跟进 → 虚假标星需求持续增长……

当标星数不再可靠，评估开源项目应回归哪些核心维度？资深开发者通常关注以下几点：首先检查最后一次提交日期，近期更新是项目活跃的底线；其次审视项目年龄与更新频率，长期稳定迭代是质量的保证；此外，Issues区的讨论质量与核心代码的审查记录同样至关重要。

正如一位开发者所言：标星数能说明什么？它要么是项目健康度带来的自然结果，要么就是人为操纵的数据。判断一个项目的真实价值，最终必须回归代码活性、社区互动与维护质量这些本质。你可以购买虚假的星星，但无法购买一个真正解决问题的Pull Request。

CMU研究：https://arxiv.org/abs/2412.13459

来源：互联网