Starを200ドルで購入し、VCから数千万ドルを騙し取る:GitHubの偽Star産業チェーンが完全暴露
TechFlow厳選深潮セレクト
Starを200ドルで購入し、VCから数千万ドルを騙し取る:GitHubの偽Star産業チェーンが完全暴露
「スター数は偽装可能だが、他人の週末を節約するバグ修正は偽装できない。」
Web3業界の深掘り報道に専念し潮流を洞察著者:クロード、TechFlow
TechFlow解説:カーネギー・メロン大学(CMU)によるピアレビュー済みの研究によると、GitHub上には約600万個の偽Starが存在し、18,600のリポジトリと30.1万のアカウントが関与している。AI/LLM関連プロジェクトは、悪意のない刷り上げ行為において最も多く偽Starを獲得しているカテゴリである。刷り上げ市場では、1個あたり最低0.03米ドルでStarが販売されており、一方でRedpoint Venturesのデータによれば、ベンチャーキャピタル(VC)によるシードラウンド投資対象プロジェクトのStar数の中央値は2,850個——つまり、200米ドル未満の支出で「シードラウンド投資基準」に達する虚偽の人気を「購入」できるのだ。
GitHub Star(「いいね!」)は、今や精巧に包装された詐欺へと堕してしまっている。
Awesome Agentsが4月13日に発表した調査報告書によると、GitHub Starを巡る成熟したグレーゾーン産業が、既に表舞台で公然と機能している。学術論文が問題の規模を定量化し、10以上のウェブサイトがStarを公然と販売しており、さらにベンチャーキャピタルはStar数を直接プロジェクト選定の判断基準に組み込んでいる。
調査チームは20のリポジトリを独立して検証し、一部のプロジェクトでは36%~76%のStarがフォロワーゼロのアカウントから付与されており、Fork数とStar数の比率が有機的なプロジェクトの基準値の10分の1以下であることを明らかにした。
本報告書の核心となる学術的裏付けは、CMU、ノースカロライナ州立大学およびSocket社が国際ソフトウェア工学会議(ICSE 2026)で共同発表したピアレビュー論文である。研究チームが開発した検出ツール「StarScout」は、20TBに及ぶGitHubメタデータ(67億件のイベント、3.26億個のStar、2019年~2024年の期間をカバー)を分析し、最終的に約600万個の疑わしい偽Star、18,600の関与リポジトリ、およそ30.1万の関与アカウントを特定した。
600万個の偽Star:2024年に爆発的増加、AIプロジェクトが最大の被災地
偽Starは新たな現象ではないが、その規模は2024年に爆発的に拡大した。CMUの論文のデータによると、2022年以前は毎月偽Star活動に関与するリポジトリは10個以下であったが、2024年7月のピーク時には3,216のリポジトリと30,779の関与アカウントにまで急増した。2024年7月時点で、Star数50個以上のリポジトリのうち、16.66%が何らかの偽Star活動に参加していた。
研究チームの検出精度は、GitHub自身の行動によって間接的に裏付けられている:StarScoutによりマーキングされたリポジトリの90.42%が削除され、マーキングされたアカウントの57.07%がクリーンアップされている。
偽Starの用途別分類では、大多数が短期間しか存続しないフィッシング型マルウェアリポジトリの宣伝に使われている。しかし、非悪意の用途では、AIおよびLLM関連プロジェクトがトップであり、偽Star総数は17.7万個に達し、ブロックチェーン/暗号資産関連プロジェクトを上回った。論文では、「こうしたプロジェクトの多くは学術論文用リポジトリあるいはLLM関連のスタートアップ企業の製品である」と指摘している。さらに重要なことに、偽Star活動が検出された78のリポジトリが、実際にGitHub Trendingページに掲載されていた。これは、購入したStarがプラットフォームの推薦アルゴリズムを実際に操作できることを示す明確な証拠である。
1個わずか3セント:公然と営業するStar刷り上げ市場
これはダークウェブ上の取引ではない。調査報告書は、SocialPlug.io、Buy.fans、Boost-Like.storeなど、少なくとも10以上のウェブサイトがGitHub Starを公然と販売していることを確認している。また、Fiverr上には24のアクティブなStar刷り上げサービスが存在し、5米ドルのベーシックパッケージから25米ドル以上の「有機的プロモーション」パッケージまで提供されている。
価格帯は3段階に分けられる:低価格帯(一回限りの新規アカウント)は1個あたり0.03~0.10米ドル、中価格帯は0.20~0.50米ドル、高価格帯(長期間運用された育成済みアカウント)は0.80~0.90米ドル。高価格帯サービスでは「Starが減少しないこと」と「30日間の補填保証」が約束されている。SocialPlugは累計310万個のStarを納品し、53,000人以上の顧客にサービスを提供しており、APIインターフェースも備え、プログラムによる大量調達を可能としている。
GithubStarMate.comやSafeStarExchange.comといったStar交換プラットフォームでは、ユーザーが金銭を支払うことなく相互にStarを交換できるポイント制が採用されている。また、GitHub上にはfake-git-historyやcommit-botなどのオープンソースツールが少なくとも7つ存在し、これらは貢献履歴グラフの偽造を専門に設計されている。5年分のコミット履歴とArctic Code Vault貢献者バッジを備えた事前構成済みGitHubアカウントは、Telegram上で約5,000米ドルで取引されている。
清華大学が2020年に実施した研究では、中国のQQおよびWeChatにおけるプロモーショングループの運営実態が記録されている:メンバー数1,020人を超えるグループが1日に約20のリポジトリのStar刷り上げ作業を処理しており、年間の産業利益は推定340万~440万米ドルに達すると見込まれている。
VCはStar数でプロジェクトを審査、200米ドルで「シードラウンド基準」を達成可能
Star数と資金調達との関係は単なる推測ではなく、ベンチャーキャピタル自体が公然と認めている事実である。
Redpoint Venturesのパートナー、ジョーダン・セガール氏は、80社のデベロッパーツール企業を分析した結果、シードラウンド時のGitHub Star数の中央値が2,850個、シリーズAラウンド時が4,980個であると明らかにした。彼はさらに、「多くのVCが、Star数の伸びが速いGitHubプロジェクトを発掘するために内部クローラーを自社開発しており、Star数は彼らが最も注目する指標である」と明言している。
この数字は、スタートアップ企業にとってまさに正確な「調達リスト」を提示することになる。安価なStarを活用すれば、85~285米ドルの支出で2,850個のStarを創出し、シードラウンドの中央値を達成できる。同様に、990~4,500米ドルを投入すればシリーズAラウンドの水準にも到達できる。典型的なシードラウンドの調達額が100万~1,000万米ドルであることを考えると、投資対効果(ROI)は3,500倍~117,000倍という驚異的な水準に達する。
Runa Capitalが四半期ごとに発表するROSS指数(オープンソース系スタートアップ企業ランキング)は、さらにこのインセンティブを強化している。TechCrunchの報道によると、ROSS指数にランクインした企業のうち68%がシードラウンド段階で投資を受けており、合計調達額は1.69億米ドルに達している。調査報告書の独自分析によると、2025年第2四半期のROSS指数で第1位となったUnion Labs(Star数が54.2倍増、合計74,300個)は深刻なStar刷り上げの疑いがある:Starの32.7%がリポジトリゼロのアカウントから、52%がフォロワーゼロのアカウントから付与されており、StarScoutはその47.4%を疑わしいと判定している。VCが広く引用する業界ランキングのトップ企業が、ほぼ半数のStarを不正に取得していたのである。
Star数から資金調達へとつながる実際の事例もすでに多数確認されている:Lovable(旧GPT Engineer)は5万個以上のStarを獲得し、750万米ドルのプレシードラウンドを調達;Browser-useは3か月で5万個のStarを獲得後、1,700万米ドルのシードラウンドを獲得;Pangolinは1,000個のStarでY Combinatorへの選出を果たし、8か月以内に470万米ドルのシードラウンドを完了した。
GitHubの執行は不均衡:リポジトリは削除してもアカウントは残す
GitHubの利用規約(Acceptable Use Policy)では、「虚偽のインタラクション」「ランキング操作」および偽Starを目的とした二次流通市場の設立が明確に禁止されており、さらに「暗号資産エアドロップ」を動機とするStar刷り上げ行為も特段に禁止されている。
しかし、執行は受動的かつ不均衡である。GitHubはStarScoutによりマーキングされたリポジトリの90.42%を削除したものの、実行アカウントのクリーンアップ率は57.07%にとどまっている。偽Star産業の「労働力」の大部分は無傷のまま残っているのだ。Dagsterが2023年に調査報告書を発表した後、関連する偽Starアカウントは48時間以内に削除された——だが、これは公に暴露された後の反応であり、自主的な検出に基づくものではない。
CMUの研究チームは、GitHubに対し、単純なStar数ではなく、ネットワーク中心性に基づく重み付き人気指標を導入し、構造的に偽Star経済を解体するよう提言している。しかし、GitHubは現在に至るまでこれを実施していない。
これにより、自己増幅的な閉ループが形成されている:VCがStarをスクリーニング信号として利用 → スタートアップがStarを刷り上げ → VCが虚偽のホットネスを観測 → より多くのVCがStar追跡を採用 → より多くのスタートアップがStarを刷り上げる。Redpointが公表したベンチマーク数値(シードラウンド2,850個、シリーズAラウンド4,980個)は、スタートアップ企業に「明確な価格表示付きショッピングリスト」を渡すに等しい。
調査報告書のコメント欄に寄せられたある識者の言葉が、この状況を端的に言い表している:「Starの数は偽装できるが、誰かの週末を節約するバグ修正は偽装できない。」
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
深潮TechFlow
