Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Awesome Agents · 20.4., 16:12 · forskning

6 millioner falske GitHub-stjerner: KI-repos er største ikke-ondsinnede kategori

SYNOPSIS_GENERERT

En fagfellevurdert CMU-studie fra ICSE 2026 dokumenterer 6 millioner falske stjerner på 18 617 GitHub-repos, og KI- og LLM-prosjekter utgjør den største ikke-ondsinnede kategorien med 177 000 falske stjerner.

Carnegie Mellon-forskerne bak StarScout analyserte 20 terabyte GitHub-metadata fra 2019 til 2024 og fant 6 millioner mistenkt falske stjerner fordelt på 18 617 repoer og 301 000 kontoer. Studien ble presentert på ICSE 2026 og publisert via etterforskningen på Awesome Agents 20. april. KI- og LLM-repoer topper listen over ikke-ondsinnede mottakere med 177 000 falske stjerner.

Problemet akselererte i 2024. Innen juli var 16,66 prosent av alle repoer med 50+ stjerner involvert i kampanjer, opp fra nær null før 2022. Validering: GitHub selv hadde slettet 90,42 prosent av de flaggede repoene og 57,07 prosent av kontoene per januar 2025.

«Many of which are academic paper repositories or LLM-related startup products.» — StarScout-forskerne om KI-kategorien

Markedet er profesjonalisert. Minst et dusin nettsteder selger stjerner åpent, Fiverr har 24 aktive «gigs», og Telegram-kanaler tilbyr ferdigbygde GitHub-profiler med femårs-historikk for rundt 5 000 dollar. Premium-leverandøren GitHub24 (registrert tysk selskap) tar 0,85 euro per stjerne med 30 dagers garanti mot drop.

Koblingen til pengestrømmen er konkret dokumentert. Jordan Segall i Redpoint Ventures publiserte analyse av 80 utviklerverktøy-selskaper som viste at median stjerne-tall ved seed-finansiering er 2 850, og ved Series A er det 4 980. Segall bekrefter også at «many VCs write internal scraping programs to identify fast growing github projects for sourcing». For 85–285 dollar kan en startup treffe seed-medianen kunstig.

«You can fake a star count, but you can't fake a bug fix that saves someone's weekend.» — sitert kommentator i studien

Det sterkeste deteksjonssignalet er fork-til-stjerne-forholdet. Flask har 235 forks per 1 000 stjerner. Blockchain-prosjektet FreeDomain har 17 per 1 000, og bare 168 watchers på 157 000 stjerner. Når ingen forker en 157 000-stjerners-repo, bruker ingen den.

>_ NØKKELTALL
6 millioner mistenkt falske stjerner på 18 617 repoer
2 850 stjerner er median ved seed-finansiering (Redpoint)
53 088 dollar er FTC-bot per brudd på falske påvirkningsmetrikker
16,66 prosent av repoer med 50+ stjerner involvert i kampanjer per juli 2024

Hva bør du gjøre?

  1. Ikke vurder KI-biblioteker kun på stjerneantall. Sjekk fork-til-stjerne-forholdet via gh repo view --json stargazerCount,forkCount. Under 0,05 på en repo med 10 000+ stjerner er et varselsignal.
  2. Se på watcher-tallet. Organiske prosjekter har 0,005–0,030 watchers per stjerne. FreeDomain ligger på 0,001. Watchers viser hvem som faktisk følger prosjektet, ikke bare hvem som har klikket stjerne.
  3. Bytt metrikk når du evaluerer avhengigheter. Bessemer anbefaler månedlige unike bidragsytere (issues, kommentarer, PR-er). Under 5 prosent av topp 10 000-repoer har noen gang passert 250 månedlige bidragsytere, et langt sjeldnere signal enn stjerner.

Bakgrunn

Dagster publiserte første større etterforskning i mars 2023 ved selv å kjøpe stjerner fra to leverandører. Tsinghua-studien (ACSAC 2020) dokumenterte kinesiske QQ- og WeChat-grupper med 1 020+ medlemmer som behandlet rundt 20 repoer daglig og genererte 3,4–4,4 millioner dollar årlig. FTC-regelen mot «fake indicators of social media influence» trådte i kraft 21. oktober 2024, og første advarselsbrev gikk ut desember 2025.

Åpne eksternt kildedokument
open-sourceforskningsikkerhet

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN