作者：克洛德，深潮 TechFlow

深潮导读：卡内基梅隆大学（CMU）同行评审研究发现 GitHub 上存在约 600 万颗假 Star，涉及 1.86 万个仓库和 30.1 万个账号，AI/LLM 项目是最大的非恶意刷星类别。刷星市场单颗售价低至 0.03 美元，而 Redpoint 数据显示 VC 种子轮项目 Star 中位数为 2,850 颗——花不到 200 美元就能「买到」一个种子轮门槛的虚假人气。

GitHub Star （点赞）正在沦为一场精心包装的骗局。

据 Awesome Agents 4 月 13 日发布的调查报告，一个围绕 GitHub Star 的成熟灰色产业链已在阳光下运转：学术论文量化了问题规模，十余个网站公开售卖 Star，风投机构则将 Star 数量直接纳入项目筛选决策。

调查团队对 20 个仓库进行了独立验证，发现部分项目 36%至 76%的 Star 来自零粉丝账号，fork 与 star 的比率低于有机项目基线的十分之一。

这份报告的核心学术支撑来自 CMU、北卡罗来纳州立大学和 Socket 公司联合发表于 ICSE 2026（国际软件工程大会）的同行评审论文。研究团队开发的检测工具 StarScout 分析了 20TB 的 GitHub 元数据（67 亿事件、3.26 亿颗 Star，覆盖 2019 年至 2024 年），最终标记出约 600 万颗可疑假 Star、1.86 万个涉事仓库和约 30.1 万个参与账号。

600 万颗假 Star：2024 年爆发式增长，AI 项目重灾区

假 Star 并非新现象，但其规模在 2024 年出现了爆炸性增长。CMU 论文数据显示，2022 年之前每月涉及假 Star 活动的仓库不超过 10 个，到 2024 年 7 月峰值时飙升至 3,216 个仓库和 30,779 个参与账号。截至 2024 年 7 月，拥有 50 颗以上 Star 的仓库中，16.66%曾参与假 Star 活动。

研究团队的检测准确度得到了 GitHub 自身行为的间接验证：被 StarScout 标记的仓库中 90.42%已被删除，被标记的账号中 57.07%已被清理。

在假 Star 的用途分类中，多数被用于推广短命的钓鱼恶意软件仓库。但在非恶意类别中，AI 和 LLM 相关项目排名第一，假 Star 总量达 17.7 万颗，超过区块链/加密货币项目。论文指出，这些项目中「很多是学术论文仓库或 LLM 相关初创公司的产品」。更关键的是，78 个被检测到存在假 Star 活动的仓库曾登上 GitHub Trending 页面，证明购买的 Star 确实能成功操纵平台的推荐算法。

一颗 Star 最低 3 美分：公开运营的刷星市场

这不是暗网交易。调查报告确认，至少十余个网站公开销售 GitHub Star，包括 SocialPlug.io、Buy.fans、Boost-Like.store 等。Fiverr 上有 24 个活跃的刷 Star 服务，从 5 美元的基础套餐到 25 美元以上的「有机推广」包不等。

定价分三档：廉价档（一次性新账号）每颗 0.03 至 0.10 美元，中档 0.20 至 0.50 美元，高级档（多年历史的养号）0.80 至 0.90 美元。高级服务承诺「不掉星」和 30 天补量保障。SocialPlug 声称累计交付 310 万颗 Star，服务超过 53,000 名客户，甚至提供 API 接口支持程序化批量采购。

Star 交换平台如 GithubStarMate.com 和 SafeStarExchange.com 则采用积分制互刷模式，用户无需花钱就能交换 Star。GitHub 上还存在至少 7 个开源工具（如 fake-git-history、commit-bot 等），专门用于伪造贡献记录图谱。带有 5 年提交历史和 Arctic Code Vault 贡献者徽章的预制 GitHub 账号在 Telegram 上售价约 5,000 美元。

清华大学 2020 年的一项研究则记录了中国 QQ 和微信推广群的运作：超过 1,020 名成员的群组每天处理约 20 个仓库的刷星任务，估计每年产生 340 万至 440 万美元的产业利润。

VC 用 Star 做项目筛选，花 200 美元就能「达标」种子轮

Star 与融资之间的关系不是猜测，而是风投机构自己公开承认的。

Redpoint Ventures 合伙人 Jordan Segall 分析了 80 家开发者工具公司后发现，种子轮融资时 GitHub Star 数量的中位数为 2,850 颗，A 轮时为 4,980 颗。他明确指出：「很多 VC 会编写内部爬虫程序来寻找 Star 增长快的 GitHub 项目，Star 是他们最常关注的指标。」

这组数字等于给了初创公司一个精确的采购清单。用廉价 Star 计算，花 85 至 285 美元就能制造 2,850 颗 Star 达到种子轮中位数；花 990 至 4,500 美元可以达到 A 轮门槛。对比种子轮 100 万至 1,000 万美元的典型融资规模，投入产出比在 3,500 倍到 117,000 倍之间。

Runa Capital 每季度发布的 ROSS 指数（开源初创公司排名）进一步放大了这一激励。据 TechCrunch 报道，ROSS 指数上榜公司中 68%在种子轮阶段获得投资，跟踪的融资总额达 1.69 亿美元。调查报告的独立分析发现，2025 年 Q2 ROSS 指数排名第一的 Union Labs（Star 增长 54.2 倍，总计 74,300 颗）存在严重的刷星嫌疑：32.7%的 Star 来自零仓库账号，52%来自零粉丝账号，StarScout 标记其 47.4%的 Star 为可疑。一份 VC 广泛引用的行业排名，榜首项目近半 Star 涉嫌造假。

已有实际案例佐证 Star 到融资的转化链条：Lovable（前 GPT Engineer）凭借 50,000+ Star 获得 750 万美元 pre-seed 轮，A 轮估值 18 亿美元；Browser-use 三个月获得 50,000 颗 Star 后拿到 1,700 万美元种子轮；Pangolin 凭 1,000 颗 Star 进入 Y Combinator，八个月内完成 470 万美元种子轮融资。

GitHub 执法不对称：删仓库但留账号

GitHub 的可接受使用政策明确禁止「虚假互动」「排名操纵」和为假 Star 建立二级市场，甚至专门禁止了以「加密货币空投」为激励的刷星行为。

但执法是被动且不对称的。GitHub 删除了 StarScout 标记的 90.42%的仓库，却只清理了 57.07%的执行账号。假 Star 产业的「劳动力」大部分完好无损。Dagster 2023 年发布调查报告后，相关假 Star 账号在 48 小时内被删除——但这是公开曝光后的反应，而非主动检测的结果。

CMU 研究团队建议 GitHub 采用基于网络中心性的加权人气指标替代原始 Star 计数，从结构上瓦解假 Star 经济。GitHub 至今未实施。

这形成了一个自我强化的闭环：VC 用 Star 做筛选信号 → 初创公司刷 Star → VC 看到虚假热度 → 更多 VC 采用 Star 追踪 → 更多初创公司刷 Star。Redpoint 公开发布的基准数字（种子轮 2,850、A 轮 4,980）等于给了初创公司一份明码标价的购物清单。

正如调查报告中一位评论者所说的：「Star 数量可以造假，但一个帮别人省下周末的 bug 修复造不了假。」