在黑市買GitHub星星多少錢？最貴的高達6元一顆。有創業家Yassin Eldeeeb自掏腰包測試了一把。他足足花20歐元（約156元），只買到25顆「高級星星」。沒錯，在黑市上刷GitHub星星也是分高低貴賤的。高級的都是註冊一年以上的帳號來刷，暱稱頭像工作地點等個人資料非常自然絕不重樣。

甚至至少還有一個對其他開源專案的貢獻記錄等，不但演算法檢測不出來，肉眼看也沒毛病。

便宜的最低可做到0.4-0.88元一顆星星，這種就是最簡單的新註冊空號去刷了，預設頭像，隨機產生暱稱的那種。

買了一個月以後發現都已經被平台封號處理，買到的星星也跟著消失了。

不過這種廉價服務最瘋狂的地方在：失效了可以聯絡賣方，免費包重刷。

具體有多少人購買這種服務無從得知，不過Eldeeeb注意到他的帳單編號是#57189，說明成交量絕對不在少數。

像這樣的「黑市」刷星服務，最近被頻頻曝光，也在開發者社群成了話題熱門的常客。

大家的討論中，有一個最奇葩的開源項目，被偵測出有97%的星都是假的。

假星偵測器

檢測出這個奇葩計畫的是另一位創業家Fraser Marlow，他偶然發現了GitHub黑市的存在。

同時他也注意到投資人越來越重視GitHub標星數，當作評估開源產品的指標了。

不過身為數據管道服務公司Dagster的成長主管，他不但沒有給自己產品刷星——

反而與識別垃圾郵件的專家合作，收集資料並開發了一個假星偵測器。

具體分為兩種演算法，簡單演算法只能偵測出那些「一眼假」的。

例如大批帳號都給相同的兩個專案標星，沒有貢獻紀錄，除了頭像和使用者名稱不同其他一毛一樣那種。

但對於開頭提到的那種6元一星的高階帳號，簡單演算法就無能為力了。

為此，Dagster也設計了更複雜的監督聚類演算法。

原理也很簡單，一批假帳號會具有相似的特徵，在視覺化中可以聚集在一起。

而正常使用者的特徵應該相當獨特，在統計上非常分散，不應該屬於任何大的群體。

舉個栗子來說，正常的GitHub帳號不是每天都有活動記錄，如果一群帳號活躍的日期都重合，就表示它們很有可能是受同一個腳本控制的。

為驗證演算法可靠性，他們創建了一個靶子倉庫，並真的去買了刷星服務。

聚類演算法在測試中表現非常好，接近100%的匹配率。

在更複雜的真實數據上，也達到了98%的精確度和85%的召回率。

接下來，團隊在Github Archive公開資料集上綜合使用兩種演算法測試。

一測不得了，造假最嚴重的okcash總標星759​​，簡單演算法只發現一個疑似假星，結合聚類演算法直接蹦到97%，

由於計算成本較高，測試中只分析了2022年1月1日及之後所得的星星。

也就是說，還有很多2022年之前刷星的項目沒有被揪出來。

與之相比，他們檢測了自己的產品Dagster和幾個同行，刷星率都比較低，看來數據管道這個產業還是比較健康的。

在這之後，他們與GitHub團隊分享了這些發現，並把偵測器也開源了。

曝光48小時之內，GitHub和刷星供應商都行動起來，他們測試用的「靶倉庫」中的假星都消失了。

根據GitHub方面回應，其實多年來一直都在積極打擊刷星行為，但仍舊頻發，根本管不住。

之前就有學術研究，透過數據分析找出63872個可疑帳號，但其中只有不到5%被GitHub平台自己偵測出並封號。

研究推測，刷星產業早在2018-2019年就獲得了341萬-437萬美元的利潤。

那為什麼有人會花大錢買GitHub標星，真的能帶來實際效益？

投資人：我們就愛看星標

開源專案團隊選擇「刷星」的一個重要目的，就是吸引投資人的目光。

一家創投公司的合夥人Pratima Aiyagari 表示，做開源專案極大可能很久都賺不到錢。

既然收入狀況沒辦法拿來參考，那就要多看一看產品本身的狀況了。

檢視開源專案最準確的方式是查看程式碼，但這種方法複雜繁瑣且專業性強，並沒有成為投資者的首選方式。

於是投資者找出了替代方法——看星標——實際上，他們天生就會尋找快速成長的新帳號。

除了絕對數量，創投公司Runa也特別設計了名為ROSS指數的指標，依據星標數年增長率對團隊進行排名。

Runa的一名合夥人Konstantin Vinogradov說，ROSS指標已經成為了開源專案遵循的重要標準，排名靠前的開源專案中有三分之一都獲得了融資。

不過伴隨著「刷星」現象的出現，投資人對星標數的看法也開始變弱。

投資人Kevin Zhang說，星標數可能可以成為一塊“敲門磚”，但不意味著投資者會因為星標數和專案團隊而“第二次見面”。

這也印證了學術界的看法——加州大學聖地牙哥分校助理教授Stuart Geiger表示，隨著時間的推移，指標（星標數）可能會自行失效。

這就牽涉到了兩個社會科學定律──坎貝爾定律和古德哈特定律。

坎貝爾定律說，決策當中使用的一項指標越受重視，就越容易被操縱。

好比網路購物，實體我們看不見摸不著，自然就會參考其他買家的評價，於是「刷單」現像也就應運而生了。

古德哈特定律則認為，如果一項指標被人們刻意追逐，那就不（或不再）是一個好的指標。

但在沒有更好的替代指標的情況下，就必須確保數據的真實度了，就好像在考試中要不遺餘力地打擊作弊一樣。

不過，除了想吸引投資人的團隊之外，還有許多個人開發者也會「刷星」。

目的和創業團隊有異曲同工之處，只不過吸引的不是投資者而是HR，希望高星計畫能在求職中為他們帶來優勢。

事實上，也的確有企業將GitHub訊息作為評價求職者的指標，甚至有人憑藉套殼計畫就斬獲了Google的offer。

除了選人，在技術選型時也是同樣的道理──許多人（尤其非專業人士）會傾向使用高星計畫。

除了GitHub，還有綜合產品發表平台Product hunt，資料類產品平台kaggle，以及IT問答平台StackOverFlow等媒介也越來越多受到投資人的關注。

不過如果無法建立有效的「防刷單」策略，最後可能也難逃換湯不換藥的命運。

對於這個現象，有人總結是「Fake it till they make it.」——

如同「先上車後補票」一樣，先假裝自己已經成功，直到真的成功為止。

One More Thing

AI，特別是大模型的發展，讓偵測虛假帳戶越來越難了。

以前的造假可能只是刷星標和點贊，判斷用戶真偽的方式主要是看帳戶本身的特徵。

但自從有了ChatGPT以後，還可以刷以假亂真而且不重樣的評論。

如果一個帳號命中了假帳號的特徵，但發布的回應卻和真人毫無二致，該如何判斷它的真偽？

來源：量子位