Chi tiêu 200 USD để mua sao trên GitHub, lừa các nhà đầu tư mạo hiểm hàng triệu USD: Toàn bộ chuỗi cung ứng giả mạo sao trên GitHub bị phanh phui
Tuyển chọn TechFlowTuyển chọn TechFlow
Chi tiêu 200 USD để mua sao trên GitHub, lừa các nhà đầu tư mạo hiểm hàng triệu USD: Toàn bộ chuỗi cung ứng giả mạo sao trên GitHub bị phanh phui
“Số sao có thể bị làm giả, nhưng một lần sửa lỗi giúp người khác tiết kiệm cả cuối tuần thì không thể làm giả.”
Chuyên sâu báo cáo Web3Tác giả: Claude, TechFlow
Giới thiệu của TechFlow: Một nghiên cứu được bình duyệt bởi Đại học Carnegie Mellon (CMU) phát hiện khoảng 6 triệu sao giả trên GitHub, liên quan đến 18.600 kho lưu trữ và 301.000 tài khoản; các dự án AI/LLM là danh mục lớn nhất trong nhóm sao giả không mang tính độc hại. Thị trường mua bán sao có giá thấp nhất chỉ 0,03 USD mỗi sao, trong khi dữ liệu từ Redpoint cho thấy số sao trung vị của các dự án vòng hạt giống do các quỹ đầu tư mạo hiểm (VC) tài trợ là 2.850 sao — nghĩa là chỉ cần chi chưa tới 200 USD là có thể “mua” được mức độ nổi tiếng giả tạo đủ tiêu chuẩn để lọt vào vòng hạt giống.
Sao GitHub (thích) đang dần trở thành một trò gian lận được đóng gói cẩn thận.
Theo báo cáo điều tra do Awesome Agents công bố ngày 13 tháng 4, một chuỗi giá trị xám trưởng thành xoay quanh sao GitHub đã hoạt động công khai dưới ánh mặt trời: các bài báo khoa học định lượng quy mô vấn đề, hơn chục trang web công khai bán sao, còn các quỹ đầu tư mạo hiểm thì trực tiếp sử dụng số sao làm tiêu chí sàng lọc dự án.
Đội điều tra đã xác minh độc lập 20 kho lưu trữ và phát hiện ở một số dự án, tỷ lệ sao đến từ tài khoản không có người theo dõi dao động từ 36% đến 76%, trong khi tỷ lệ fork trên sao thấp hơn một phần mười so với ngưỡng cơ sở của các dự án tăng trưởng tự nhiên.
Hệ stăng học thuật cốt lõi của báo cáo này bắt nguồn từ bài báo được bình duyệt đồng nghiệp, do các nhà nghiên cứu từ Đại học Carnegie Mellon, Đại học Bắc Carolina tại Raleigh và công ty Socket đồng tác giả, trình bày tại Hội nghị Quốc tế về Kỹ nghệ Phần mềm (ICSE) năm 2026. Nhóm nghiên cứu đã phát triển công cụ phát hiện StarScout để phân tích 20 TB siêu dữ liệu GitHub (gồm 6,7 tỷ sự kiện, 326 triệu sao, bao phủ giai đoạn từ năm 2019 đến 2024), cuối cùng đánh dấu khoảng 6 triệu sao đáng ngờ, 18.600 kho lưu trữ liên quan và khoảng 301.000 tài khoản tham gia.
6 triệu sao giả: Bùng nổ vào năm 2024, các dự án AI là vùng trọng điểm
Sao giả không phải hiện tượng mới, nhưng quy mô của nó đã tăng vọt vào năm 2024. Dữ liệu từ bài báo của CMU cho thấy trước năm 2022, trung bình mỗi tháng số kho lưu trữ liên quan đến hoạt động sao giả không vượt quá 10 kho; đến tháng 7 năm 2024, con số này đạt đỉnh ở mức 3.216 kho và 30.779 tài khoản tham gia. Tính đến tháng 7 năm 2024, trong số các kho lưu trữ có từ 50 sao trở lên, 16,66% từng tham gia hoạt động sao giả.
Độ chính xác phát hiện của nhóm nghiên cứu được xác nhận gián tiếp qua hành vi của chính GitHub: 90,42% kho lưu trữ bị StarScout đánh dấu đã bị xóa, và 57,07% tài khoản bị đánh dấu đã bị dọn dẹp.
Về mục đích sử dụng sao giả, phần lớn nhằm quảng bá các kho lưu trữ phần mềm độc hại dạng钓鱼 (lừa đảo) tồn tại ngắn hạn. Tuy nhiên, trong nhóm phi độc hại, các dự án liên quan đến AI và LLM đứng đầu danh sách, với tổng cộng 177.000 sao giả — nhiều hơn cả các dự án blockchain/tiền mã hóa. Bài báo nhấn mạnh rằng “nhiều trong số này là kho lưu trữ bài báo khoa học hoặc sản phẩm của các công ty khởi nghiệp liên quan đến LLM”. Quan trọng hơn, 78 kho lưu trữ bị phát hiện có hoạt động sao giả từng xuất hiện trên trang GitHub Trending, chứng minh rõ ràng rằng sao mua về thực sự có khả năng thao túng thuật toán đề xuất của nền tảng.
Một sao rẻ nhất chỉ 3 xu: Thị trường mua bán sao vận hành công khai
Đây không phải giao dịch trên mạng đen. Báo cáo điều tra khẳng định ít nhất hơn chục trang web công khai bán sao GitHub, bao gồm SocialPlug.io, Buy.fans, Boost-Like.store, v.v. Trên Fiverr hiện có 24 dịch vụ tăng sao đang hoạt động, từ gói cơ bản giá 5 USD đến gói “quảng bá tự nhiên” giá trên 25 USD.
Giá được chia làm ba mức: mức rẻ (tài khoản mới dùng một lần): 0,03–0,10 USD/sao; mức trung: 0,20–0,50 USD/sao; mức cao (tài khoản “nuôi” nhiều năm): 0,80–0,90 USD/sao. Dịch vụ cao cấp cam kết “không rớt sao” và bảo đảm bổ sung sao trong vòng 30 ngày. SocialPlug tuyên bố đã giao tổng cộng 3,1 triệu sao cho hơn 53.000 khách hàng, thậm chí còn cung cấp API để hỗ trợ mua số lượng lớn tự động hóa.
Các nền tảng trao đổi sao như GithubStarMate.com và SafeStarExchange.com áp dụng mô hình trao đổi sao qua hệ thống điểm, cho phép người dùng đổi sao mà không cần chi tiền. Trên GitHub cũng tồn tại ít nhất 7 công cụ mã nguồn mở (ví dụ: fake-git-history, commit-bot, v.v.) chuyên dùng để giả mạo biểu đồ lịch sử đóng góp. Các tài khoản GitHub được “chuẩn bị sẵn” có lịch sử đóng góp 5 năm và huy hiệu “Người đóng góp cho Arctic Code Vault” được rao bán trên Telegram với giá khoảng 5.000 USD.
Một nghiên cứu của Đại học Thanh Hoa năm 2020 ghi nhận cách vận hành của các nhóm quảng bá trên QQ và WeChat tại Trung Quốc: các nhóm có hơn 1.020 thành viên xử lý khoảng 20 kho lưu trữ mỗi ngày để tăng sao, ước tính lợi nhuận ngành này đạt từ 3,4 đến 4,4 triệu USD mỗi năm.
VC dùng sao để sàng lọc dự án: Chỉ cần chi 200 USD là “đạt chuẩn” vòng hạt giống
Mối liên hệ giữa sao và gọi vốn không phải suy đoán, mà là điều các quỹ đầu tư mạo hiểm tự công khai thừa nhận.
Jordan Segall, đối tác tại Redpoint Ventures, sau khi phân tích 80 công ty công cụ dành cho nhà phát triển, phát hiện số sao GitHub trung vị tại vòng hạt giống là 2.850 sao, và tại vòng A là 4.980 sao. Ông khẳng định rõ: “Nhiều VC viết chương trình thu thập dữ liệu nội bộ để tìm các dự án GitHub có tốc độ tăng sao nhanh; sao là chỉ số họ theo dõi thường xuyên nhất.”
Những con số này tương đương việc đưa ra một danh sách mua sắm chính xác cho các công ty khởi nghiệp. Với sao giá rẻ, chỉ cần chi từ 85 đến 285 USD là có thể tạo ra 2.850 sao để đạt mức trung vị vòng hạt giống; chi từ 990 đến 4.500 USD sẽ đạt ngưỡng vòng A. So với quy mô gọi vốn điển hình vòng hạt giống từ 1–10 triệu USD, tỷ lệ lợi ích trên chi phí dao động từ 3.500 đến 117.000 lần.
Chỉ số ROSS (Xếp hạng công ty khởi nghiệp mã nguồn mở) do Runa Capital công bố hàng quý càng khuếch đại động lực này. Theo TechCrunch đưa tin, 68% công ty nằm trong danh sách ROSS đã nhận được đầu tư ở giai đoạn hạt giống, tổng số vốn gọi được theo dõi lên tới 169 triệu USD. Phân tích độc lập của báo cáo điều tra phát hiện Union Labs — công ty đứng đầu chỉ số ROSS quý II năm 2025 (tăng 54,2 lần về số sao, tổng cộng 74.300 sao) — có dấu hiệu tăng sao đáng ngờ nghiêm trọng: 32,7% sao đến từ tài khoản không có kho lưu trữ nào, 52% từ tài khoản không có người theo dõi nào, và StarScout đánh dấu 47,4% số sao của họ là đáng ngờ. Một bảng xếp hạng ngành được nhiều VC trích dẫn rộng rãi lại có dự án đứng đầu gần một nửa số sao bị nghi là giả.
Đã có những ví dụ thực tế chứng minh chuỗi chuyển đổi từ sao sang gọi vốn: Lovable (trước đây là GPT Engineer), với hơn 50.000 sao, đã huy động được 7,5 triệu USD ở vòng pre-seed và định giá 1,8 tỷ USD ở vòng A; Browser-use đạt 50.000 sao trong ba tháng rồi gọi được 17 triệu USD ở vòng hạt giống; Pangolin chỉ với 1.000 sao đã được chấp nhận vào Y Combinator và hoàn tất vòng hạt giống 4,7 triệu USD trong vòng tám tháng.
Việc thực thi chính sách của GitHub thiếu cân bằng: Xóa kho lưu trữ nhưng giữ nguyên tài khoản
Chính sách Sử dụng Chấp nhận được của GitHub rõ ràng cấm “tương tác giả”, “thao túng thứ hạng” và thiết lập thị trường thứ cấp cho sao giả, thậm chí còn cấm riêng hành vi tăng sao nhằm hưởng “phát hành miễn phí tiền mã hóa (airdrop)”.
Tuy nhiên, việc thực thi là thụ động và thiếu cân bằng. GitHub đã xóa 90,42% kho lưu trữ bị StarScout đánh dấu, nhưng chỉ dọn dẹp 57,07% tài khoản thực hiện hành vi tăng sao. “Lực lượng lao động” của ngành tăng sao giả phần lớn vẫn nguyên vẹn. Sau khi Dagster công bố báo cáo điều tra năm 2023, các tài khoản tăng sao giả liên quan đã bị xóa trong vòng 48 giờ — nhưng đây là phản ứng sau khi sự việc bị phơi bày công khai, chứ không phải kết quả của việc phát hiện chủ động.
Nhóm nghiên cứu CMU đề xuất GitHub nên thay thế chỉ số đếm sao thô bằng một chỉ số uy tín có trọng số dựa trên tính trung tâm mạng lưới, nhằm phá vỡ cấu trúc kinh tế sao giả từ gốc. Đến nay, GitHub vẫn chưa triển khai đề xuất này.
Điều này tạo thành một vòng lặp tự củng cố: VC dùng sao làm tín hiệu sàng lọc → các công ty khởi nghiệp tăng sao → VC nhìn thấy độ “nóng” giả tạo → ngày càng nhiều VC áp dụng sao để theo dõi → ngày càng nhiều công ty khởi nghiệp tăng sao. Các con số chuẩn do Redpoint công bố công khai (2.850 sao cho vòng hạt giống, 4.980 sao cho vòng A) tương đương việc cung cấp cho các công ty khởi nghiệp một “danh sách mua sắm niêm yết giá rõ ràng”.
Như một bình luận viên trong báo cáo điều tra đã nhận xét: “Số sao có thể làm giả, nhưng một bản sửa lỗi giúp người khác tiết kiệm cả cuối tuần thì không thể làm giả.”
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
