原標(biāo)題：CMU等曝光GitHub「地下產(chǎn)業(yè)鏈」！450萬個Star都是刷的
文章來源：新智元
內(nèi)容字?jǐn)?shù)：8653字

GitHub虛假Star泛濫：StarScout揭露450萬虛假點贊背后的

近年來，GitHub平臺上虛假Star數(shù)量激增，嚴(yán)重威脅著開源項目的透明度和聲譽(yù)。卡內(nèi)基梅隆大學(xué)（CMU）團(tuán)隊開發(fā)的StarScout工具，通過系統(tǒng)分析，揭示了這一問題的嚴(yán)重性及其對軟件供應(yīng)鏈安全的潛在影響。

1. 虛假Star的規(guī)模與危害

StarScout的研究結(jié)果令人震驚：GitHub上約有450萬個Star被認(rèn)定為虛假，其中15%的獲得50個Star的倉庫都存在造假行為。這些虛假Star通常由惡意賬戶批量刷取，目的是吸引關(guān)注，甚至在項目中注入惡意代碼，攻擊試圖復(fù)現(xiàn)項目的開發(fā)者。購買GitHub Star的服務(wù)甚至明碼標(biāo)價，只需幾小時甚至立即就能獲得大量虛假Star，這使得虛假Star被用于、垃圾郵件發(fā)送、簡歷造假及惡意軟件傳播等非法活動。

2. 虛假Star的特征與識別

StarScout通過分析發(fā)現(xiàn)，虛假Star活動中，倉庫名稱經(jīng)常包含”auto”、”bot”、”2024″、”telegram”、”free”等關(guān)鍵詞，且多與盜版軟件或游戲作弊相關(guān)。參與虛假Star活動的賬戶通常缺乏GitHub組織、公司關(guān)系和個人網(wǎng)站，往往使用默認(rèn)頭像。這些特征為識別虛假Star提供了重要線索。

StarScout利用分布式算法，識別兩種與虛假Star相關(guān)的異常行為：低活動特征（只為一個倉庫點Star后不再活躍）和同步特征（多個賬戶在短時間內(nèi)同時為同一組倉庫點Star）。StarScout通過構(gòu)建用戶和代碼倉庫的雙向圖，并運(yùn)用CopyCatch算法，有效地檢測出這些異常模式，最終識別出450萬個虛假Star，涉及132萬個賬戶。

3. 虛假Star的長期影響

研究人員還調(diào)查了虛假Star是否能像真實Star一樣產(chǎn)生“馬太效應(yīng)”，即吸引更多真實Star。結(jié)果表明，雖然虛假Star在短期內(nèi)（兩個月內(nèi)）可以略微增加真實Star數(shù)量，但其效果遠(yuǎn)低于真實Star，而且長期來看反而會產(chǎn)生負(fù)面影響。因此，購買虛假Star并不能真正提升項目熱度，反而可能適得其反。

4. StarScout的結(jié)論與建議

StarScout的研究結(jié)果表明，GitHub Star并非可靠的項目質(zhì)量指標(biāo)，不應(yīng)作為高風(fēng)險決策的唯一參考。開發(fā)者應(yīng)專注于提升項目本身的質(zhì)量和維護(hù)，而非追求虛假的Star數(shù)量。GitHub平臺也應(yīng)加強(qiáng)對虛假Star活動的監(jiān)控和打擊力度，以維護(hù)開源社區(qū)的健康發(fā)展。

5. 虛假Star交易的運(yùn)作模式

研究發(fā)現(xiàn)GitHub Star至少通過三種方式運(yùn)作：商家公開出售；用戶之間互換；通過獎勵激勵用戶加Star。這些行為都違反了GitHub的使用政策。

聯(lián)系作者

文章來源：新智元
作者微信：
作者簡介：智能+中國主平臺，致力于推動中國從互聯(lián)網(wǎng)+邁向智能+新紀(jì)元。重點關(guān)注人工智能、機(jī)器人等前沿領(lǐng)域發(fā)展，關(guān)注人機(jī)融合、人工智能和機(jī)器人對人類社會與文明進(jìn)化的影響，領(lǐng)航中國新智能時代。