CMU等曝光GitHub「地下產業鏈」！450萬個Star都是刷的

原標題：CMU等曝光GitHub「地下產業鏈」！450萬個Star都是刷的
文章來源：新智元
內容字數：8653字

GitHub虛假Star泛濫：StarScout揭露450萬虛假點贊背后的

近年來，GitHub平臺上虛假Star數量激增，嚴重威脅著開源項目的透明度和聲譽。卡內基梅隆大學（CMU）團隊開發的StarScout工具，通過系統分析，揭示了這一問題的嚴重性及其對軟件供應鏈安全的潛在影響。

1. 虛假Star的規模與危害

StarScout的研究結果令人震驚：GitHub上約有450萬個Star被認定為虛假，其中15%的獲得50個Star的倉庫都存在造假行為。這些虛假Star通常由惡意賬戶批量刷取，目的是吸引關注，甚至在項目中注入惡意代碼，攻擊試圖復現項目的開發者。購買GitHub Star的服務甚至明碼標價，只需幾小時甚至立即就能獲得大量虛假Star，這使得虛假Star被用于、垃圾郵件發送、簡歷造假及惡意軟件傳播等非法活動。

2. 虛假Star的特征與識別

StarScout通過分析發現，虛假Star活動中，倉庫名稱經常包含”auto”、”bot”、”2024″、”telegram”、”free”等關鍵詞，且多與盜版軟件或游戲作弊相關。參與虛假Star活動的賬戶通常缺乏GitHub組織、公司關系和個人網站，往往使用默認頭像。這些特征為識別虛假Star提供了重要線索。

StarScout利用分布式算法，識別兩種與虛假Star相關的異常行為：低活動特征（只為一個倉庫點Star后不再活躍）和同步特征（多個賬戶在短時間內同時為同一組倉庫點Star）。StarScout通過構建用戶和代碼倉庫的雙向圖，并運用CopyCatch算法，有效地檢測出這些異常模式，最終識別出450萬個虛假Star，涉及132萬個賬戶。

3. 虛假Star的長期影響

研究人員還調查了虛假Star是否能像真實Star一樣產生“馬太效應”，即吸引更多真實Star。結果表明，雖然虛假Star在短期內（兩個月內）可以略微增加真實Star數量，但其效果遠低于真實Star，而且長期來看反而會產生負面影響。因此，購買虛假Star并不能真正提升項目熱度，反而可能適得其反。

4. StarScout的結論與建議

StarScout的研究結果表明，GitHub Star并非可靠的項目質量指標，不應作為高風險決策的唯一參考。開發者應專注于提升項目本身的質量和維護，而非追求虛假的Star數量。GitHub平臺也應加強對虛假Star活動的監控和打擊力度，以維護開源社區的健康發展。

5. 虛假Star交易的運作模式

研究發現GitHub Star至少通過三種方式運作：商家公開出售；用戶之間互換；通過獎勵激勵用戶加Star。這些行為都違反了GitHub的使用政策。

聯系作者

文章來源：新智元
作者微信：
作者簡介：智能+中國主平臺，致力于推動中國從互聯網+邁向智能+新紀元。重點關注人工智能、機器人等前沿領域發展，關注人機融合、人工智能和機器人對人類社會與文明進化的影響，領航中國新智能時代。