文章总结： 该文档分析GitHub上虚假star的泛滥现象，基于ICSE2026论文指出通过StarScout工具识别出600万疑似刷星行为，涉及30万账户。关键发现显示2024年7月16.66%的高星项目涉嫌造假，且虚假star常与恶意软件、钓鱼仓库关联。建议开发者警惕异常高星项目，优先审查代码安全性。 综合评分： 86 文章分类： 恶意软件,安全工具,漏洞分析,供应链安全,安全运营

G.O.S.S.I.P 阅读推荐 2026-04-24 这不是一颗真星

原创

G.O.S.S.I.P G.O.S.S.I.P

安全研究GoSSIP

2026年4月24日 21:25 上海

在小说阅读器读本章

去阅读

那些年我们学过的语文课文中，有很多在记忆中闪闪发光的文字，比如曾经在初中课本中出现的《这不是一颗流星》，今天读起来依然比许多文字更有温情和力量：

有时候一颗真星（心）胜过几百万颗star，我们今天介绍的这篇ICSE 2026论文 Six Million (Suspected) Fake Stars on GitHub: AGrowing Spiral of Popularity Contests, Spam, and Malware 应该推荐到315晚会上，给大家曝光一下GitHub上那些花钱买star的乱象：

论文上来就放出了一张触目惊心的图片：

这是一个看起来关于“以太坊杀手”——Solan区块链的相关repo，你以为它是一个好项目——因为它有111个star？实际上，本文的作者通过他们开发的一套叫做 StarScout 的工具分析发现，这其中至少有109个star是来自非真实用户的！而这个repo其实是一个恶意的repo，一旦使用了就会被盗走资产……

从这个例子出发，我们今天介绍的论文揭开了GitHub上和star相关的乱象：作者分析了20TB的GitHub元数据，涵盖了从2019年到2024年67亿个事件和3.26亿星数，并识别出了600万被怀疑刷的虚假星数，涉及了超过30万个账户。听上去是不是很吓人？更加令人瘆得慌是下面这个趋势：从2024年开始，“付费刷星”这种情况开始疯涨，2024年7月的时候，GitHub上16.66%的项目（50及以上星数）都涉嫌在刷数据！

简单说一下本文作者开发的 StarScout 工具，它主要是分析了那些去标记star的GitHub账号的特征：首先观察这些账号是不是只点了star然后就没干别的事情了，其次是分析是不是有一批账号经常一起给某个项目点star，通过这两个基本的原则，再加上一些数据分析的技巧（这里就略过不表了），就能识别出来所谓的“fake stars”了。

借助 StarScout 工具的分析能力，作者深入调研了fake star这个生态，其中很有意思的一个发现是这样的：

嗯，历史经验告诉我们，大热的研究方向都是充斥着泥沙的~ 另外，本文还关注了GitHub官方的态度，作者也表扬了官方：他们发现到2025年1月，有90.42%的涉嫌刷星数的项目已经被官方移除，这是因为这些项目大部分涉及到了malware、钓鱼等安全问题，当然作者的这个工具也许只能发现部分有问题的项目，官方可能还有更多的一些背景数据能够帮助发现这种的刷数据的行为？总之这个产业链看起来一时半会是不会消亡的，因为现在这个行业还挺兴旺的，在另一篇报道（https://awesomeagents.ai/news/github-fake-stars-investigation/ 不是学术论文），记者调查了这个“造星”市场，发现服务不同，当然也对应了不同的价位：

更为有意思的是，记者调查了一些流行的AI项目，发现这里面的openai-fm居然有66%的star是刷出来的，不过这个调查并没有说是哪个openai-fm，而我们在GitHub上去查了下，官方的openai-fm（https://github.com/openai/openai-fm 只有2.8K star）好像是唯一符合的，所以到底是之前有一个李鬼项目，还是openai-fm本身的有水分的star被删除了，不得而知~

实际上，刷排名这种人类最喜欢的行为并不是第一次被研究论文分析了，清华大学段海新老师研究团队在ACSAC 2020年的论文Understanding Promotion-as-a-Service on GitHub对国内的一些这种“服务群”进行了调研，而2014年的IMC 论文Paying for Likes?: Understanding Facebook Like Fraud Using Honeypots更早就对脸书上的所谓“like fraud”进行了分析。

写到这里，编辑部突然想起以前听说过的一件事情：据说现在很多中小学里面有一些学生很social，同学们都有ta的微信，然后ta就会~~像李彦宏一样搞竞价排名~~让那些需要得到关注的同学付点钱，ta就发个朋友圈去at一下这些付钱的同学，让所有人都关注到这些“小金主”们。当时那篇文章还说到“注意力经济已经渗透到了少年中”，于是我们注意到这篇论文的开头引用了这么一段话，引人深思：

联想到科研里面的各种乱象（比如什么动不动就数论文篇数，~~呃注意我们并不是说CSRanking~~），还有之前我们介绍过的关于刷CVE的研究【G.O.S.S.I.P 阅读推荐 2025-09-15 CVE：学术界的”水论文神器”还是真正的安全指标？】，再看看今天的这个研究工作，大家有没有思考过，这种以定量排名来评估的方式，何尝不是一种~~劣质的~~优绩主义思想？你看看人家Fabrice Bellard在他的主页 https://www.bellard.org/ （破旧的页面，没有任何前端水平）上有说过他拿了多少star吗？

最后，还记得前段时间“小龙虾热”的时候，有这么一个新闻：

而关于fake star的新闻报道里面有这么一句话：

A GitHub star costs $0.06 at the low end. A seed round unlocks $1 million to $10 million. The math is obvious, and thousands of repositories are exploiting it.

现在想想，你还在为AI降临欢呼吗？

论文：https://arxiv.org/pdf/2412.13459

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全研究GoSSIP G.O.S.S.I.P G.O.S.S.I.P《G.O.S.S.I.P 阅读推荐 2026-04-24 这不是一颗真星》