GitHub刷星黑产曝光：AI项目成重灾区，假星超600万颗，标星价格低至5毛

GitHub的Star体系正面临一场系统性信任危机。卡内基梅隆大学（CMU）一项被ICSE 2026顶会收录的研究，首次大规模量化了平台上的虚假标星产业。数据显示，GitHub上存在约600万颗假Star，分布在超过1.8万个仓库中，背后牵扯超过30万个造假账号。这已不是零星的作弊行为，而是一条成熟的、明码标价的产业链。

CMU团队开发的检测工具StarScout，通过识别僵尸账号和批量点星等异常行为，以81%的准确率锁定了这些虚假热度。研究揭示，造假服务已高度市场化，价格分层清晰：廉价套餐每颗Star低至0.03美元（约合人民币0.2元），主打快速批量操作；高端服务则定价0.8-0.9美元，使用养号多年的“优质”老账号模拟真人行为，并提供长期“锁星”售后，以规避平台风控。市面上至少有12个网站和Fiverr上的24个活跃卖家公开提供此类服务，甚至支持API程序化批量购买。

更令人担忧的是，AI/LLM项目成为非恶意项目中刷星最严重的领域。虚假热度不仅扭曲了项目的真实影响力，还直接干扰了平台的推荐算法。研究统计，有78个重度刷星项目凭借注水的Star数成功挤进GitHub热门榜单。与此同时，黑产上游甚至滋生出“账号农场”，专门培养带有长期提交记录和官方贡献者徽章的高价值账号，一个伪装精良的账号售价可高达5000美元。这场围绕开源声誉的造假竞赛，正在系统性侵蚀开发者社区的诚信基石。