花 200 美元刷 Star，騙走 VC 千萬美元：GitHub 假星產業鏈全曝光

作者：克洛德，深潮 TechFlow

深潮導讀：卡內基梅隆大學（CMU）同行評審研究發現 GitHub 上存在約 600 萬顆假 Star，涉及 1.86 萬個倉庫和 30.1 萬個賬號，AI/LLM 項目是最大的非惡意刷星類別。刷星市場單顆售價低至 0.03 美元，而 Redpoint 數據顯示 VC 種子輪項目 Star 中位數為 2,850 顆——花不到 200 美元就能「買到」一個種子輪門檻的虛假人氣。

GitHub Star （點贊）正在淪為一場精心包裝的騙局。

據 Awesome Agents 4 月 13 日發佈的調查報告，一個圍繞 GitHub Star 的成熟灰色產業鏈已在陽光下運轉：學術論文量化了問題規模，十餘個網站公開售賣 Star，風投機構則將 Star 數量直接納入項目篩選決策。

調查團隊對 20 個倉庫進行了獨立驗證，發現部分項目 36%至 76%的 Star 來自零粉絲賬號，fork 與 star 的比率低於有機項目基線的十分之一。

這份報告的核心學術支撐來自 CMU、北卡羅來納州立大學和 Socket 公司聯合發表於 ICSE 2026（國際軟件工程大會）的同行評審論文。研究團隊開發的檢測工具 StarScout 分析了 20TB 的 GitHub 元數據（67 億事件、3.26 億顆 Star，覆蓋 2019 年至 2024 年），最終標記出約 600 萬顆可疑假 Star、1.86 萬個涉事倉庫和約 30.1 萬個參與賬號。

600 萬顆假 Star：2024 年爆發式增長，AI 項目重災區

假 Star 並非新現象，但其規模在 2024 年出現了爆炸性增長。CMU 論文數據顯示，2022 年之前每月涉及假 Star 活動的倉庫不超過 10 個，到 2024 年 7 月峰值時飆升至 3,216 個倉庫和 30,779 個參與賬號。截至 2024 年 7 月，擁有 50 顆以上 Star 的倉庫中，16.66%曾參與假 Star 活動。

研究團隊的檢測準確度得到了 GitHub 自身行為的間接驗證：被 StarScout 標記的倉庫中 90.42%已被刪除，被標記的賬號中 57.07%已被清理。

在假 Star 的用途分類中，多數被用於推廣短命的釣魚惡意軟件倉庫。但在非惡意類別中，AI 和 LLM 相關項目排名第一，假 Star 總量達 17.7 萬顆，超過區塊鏈/加密貨幣項目。論文指出，這些項目中「很多是學術論文倉庫或 LLM 相關初創公司的產品」。更關鍵的是，78 個被檢測到存在假 Star 活動的倉庫曾登上 GitHub Trending 頁面，證明購買的 Star 確實能成功操縱平臺的推薦算法。

一顆 Star 最低 3 美分：公開運營的刷星市場

這不是暗網交易。調查報告確認，至少十餘個網站公開銷售 GitHub Star，包括 SocialPlug.io、Buy.fans、Boost-Like.store 等。Fiverr 上有 24 個活躍的刷 Star 服務，從 5 美元的基礎套餐到 25 美元以上的「有機推廣」包不等。

定價分三檔：廉價檔（一次性新賬號）每顆 0.03 至 0.10 美元，中檔 0.20 至 0.50 美元，高級檔（多年曆史的養號）0.80 至 0.90 美元。高級服務承諾「不掉星」和 30 天補量保障。SocialPlug 聲稱累計交付 310 萬顆 Star，服務超過 53,000 名客戶，甚至提供 API 接口支持程序化批量採購。

Star 交換平臺如 GithubStarMate.com 和 SafeStarExchange.com 則採用積分制互刷模式，用戶無需花錢就能交換 Star。GitHub 上還存在至少 7 個開源工具（如 fake-git-history、commit-bot 等），專門用於偽造貢獻記錄圖譜。帶有 5 年提交歷史和 Arctic Code Vault 貢獻者徽章的預製 GitHub 賬號在 Telegram 上售價約 5,000 美元。

清華大學 2020 年的一項研究則記錄了中國 QQ 和微信推廣群的運作：超過 1,020 名成員的群組每天處理約 20 個倉庫的刷星任務，估計每年產生 340 萬至 440 萬美元的產業利潤。

VC 用 Star 做項目篩選，花 200 美元就能「達標」種子輪

Star 與融資之間的關係不是猜測，而是風投機構自己公開承認的。

Redpoint Ventures 合夥人 Jordan Segall 分析了 80 家開發者工具公司後發現，種子輪融資時 GitHub Star 數量的中位數為 2,850 顆，A 輪時為 4,980 顆。他明確指出：「很多 VC 會編寫內部爬蟲程序來尋找 Star 增長快的 GitHub 項目，Star 是他們最常關注的指標。」

這組數字等於給了初創公司一個精確的採購清單。用廉價 Star 計算，花 85 至 285 美元就能製造 2,850 顆 Star 達到種子輪中位數；花 990 至 4,500 美元可以達到 A 輪門檻。對比種子輪 100 萬至 1,000 萬美元的典型融資規模，投入產出比在 3,500 倍到 117,000 倍之間。

Runa Capital 每季度發佈的 ROSS 指數（開源初創公司排名）進一步放大了這一激勵。據 TechCrunch 報道，ROSS 指數上榜公司中 68%在種子輪階段獲得投資，跟蹤的融資總額達 1.69 億美元。調查報告的獨立分析發現，2025 年 Q2 ROSS 指數排名第一的 Union Labs（Star 增長 54.2 倍，總計 74,300 顆）存在嚴重的刷星嫌疑：32.7%的 Star 來自零倉庫賬號，52%來自零粉絲賬號，StarScout 標記其 47.4%的 Star 為可疑。一份 VC 廣泛引用的行業排名，榜首項目近半 Star 涉嫌造假。

已有實際案例佐證 Star 到融資的轉化鏈條：Lovable（前 GPT Engineer）憑藉 50,000+ Star 獲得 750 萬美元 pre-seed 輪，A 輪估值 18 億美元；Browser-use 三個月獲得 50,000 顆 Star 後拿到 1,700 萬美元種子輪；Pangolin 憑 1,000 顆 Star 進入 Y Combinator，八個月內完成 470 萬美元種子輪融資。

GitHub 執法不對稱：刪倉庫但留賬號

GitHub 的可接受使用政策明確禁止「虛假互動」「排名操縱」和為假 Star 建立二級市場，甚至專門禁止了以「加密貨幣空投」為激勵的刷星行為。

但執法是被動且不對稱的。GitHub 刪除了 StarScout 標記的 90.42%的倉庫，卻只清理了 57.07%的執行賬號。假 Star 產業的「勞動力」大部分完好無損。Dagster 2023 年發佈調查報告後，相關假 Star 賬號在 48 小時內被刪除——但這是公開曝光後的反應，而非主動檢測的結果。

CMU 研究團隊建議 GitHub 採用基於網絡中心性的加權人氣指標替代原始 Star 計數，從結構上瓦解假 Star 經濟。GitHub 至今未實施。

這形成了一個自我強化的閉環：VC 用 Star 做篩選信號 → 初創公司刷 Star → VC 看到虛假熱度 → 更多 VC 採用 Star 追蹤 → 更多初創公司刷 Star。Redpoint 公開發布的基準數字（種子輪 2,850、A 輪 4,980）等於給了初創公司一份明碼標價的購物清單。

正如調查報告中一位評論者所說的：「Star 數量可以造假，但一個幫別人省下週末的 bug 修復造不了假。」