「一顆 GitHub star 的批發價格是 0.06 美元」窥探千萬美金的「star 黑市」

新賬號刷出來的星 3 美分起，帶幾年活動記錄的 aged account 開到 80 美分以上。每一筆訂單附帶 30 天替換保證——你買的星被 GitHub 刪了，他們給你補。這是一條千萬美金的 star 黑市產業鏈。

Apr 21, 2026

SocialPlug.io 在主頁上寫著”已交付 310 萬顆 GitHub star，服務過 53,000 個客戶”，還提供可以程序化下單的 API。

新賬號刷出來的星 3 美分起，帶幾年活動記錄的 aged account 開到 80 美分以上。每一筆訂單附帶 30 天替換保證——你買的星被 GitHub 刪了，他們給你補。

GitHubPromoter、Followdeh、Buy.fans、Vurike，公開掛牌的同類網站至少十幾家。Fiverr 上同時有 24 個正在接單的 GitHub promo gig。其中一家叫 GitHub24 的供應商，是在德國註冊的正規公司（Moller und Ringauf GbR），EUR 0.85 一顆星。2023 年 Dagster 團隊買過一批做實驗，100 顆訂單交付後 30 天一顆都沒掉。

Telegram 頻道里，帶 5 年 commit 記錄和 Arctic Vault Contributor 徽章的”零售級” GitHub 賬號，單價 5,000 美元。

中國清華大學 2020 年在 ACSAC 的一篇論文扒過中文語境下的相同生態：QQ 和微信里 1,020 多個成員的刷星群組，每天處理約 20 個倉庫，估算年利潤 340 萬到 440 萬美元。

卡內基梅隆大學、北卡州立和 Socket 三方團隊在 ICSE 2026 發表了論文《Six Million (Suspected) Fake Stars in GitHub》。他們寫了一個叫 StarScout 的工具，掃了 2019 到 2024 年的 326 億條 GitHub 事件，識別出 600 萬顆分布在 18,617 個倉庫的假星，由 301,000 個賬號投出。

到 2024 年 7 月，所有 50 顆星以上的倉庫里，16.66% 被判定捲入過買星活動。AI 和 LLM 類目是非惡意買星項目里規模最大的一類。

Redpoint Ventures 合伙人 Jordan Segall 公開過 80 家開發者工具公司的數據：seed 輪 GitHub star 中位數 2,850 顆，A 輪 4,980 顆。按批發價算，85 美元可以湊齊 seed 中位數，990 美元可以湊齊 A 輪中位數。對應的融資規模是 100 萬到 1000 萬美元。

一個 VC 普遍在用的 sourcing 信號，偽造成本只有回報的幾萬分之一。

以上內容來自 Awesome Agents 上周發表的一篇獨立調查報告。他們不僅整合了 CMU 等幾篇學術論文的結果，還用自己寫的 GitHub API 工具對 20 個倉庫做了獨立採樣驗證，其中包括當時登上 Runa Capital ROSS Index 榜首的 Union Labs。

報告原文鏈接：awesomeagents.ai/news/github-fake-stars-investigation

VC 怎麼找開源項目？

Redpoint 的 Jordan Segall 在他那篇 2,850 顆星的分析里直接寫了：

Many VCs write internal scraping programs to identify fast growing github projects for sourcing, and the most common metric they look toward is stars.

Runa Capital 每季度發佈的 ROSS Index（Runa Open Source Startup Index），是按 GitHub star 增長率對開源 startup 排名，發佈給到頭部 20 家 VC 做參考。

Thanks for reading Lucy’s Substack! This post is public so feel free to share it.

TechCrunch 2023 年的報道里提過一個數字：ROSS Index 上榜的初創公司里 68% 拿到了投資，大部分是 seed 階段，累計融資 1.69 億美元。

GitHub 自己的 GitHub Fund 和 Microsoft M12 合作，每年 1,000 萬美元投 8 到 10 家 pre-seed/seed 階段的 OSS 公司，平台傳播指標是主要信號之一。

Lovable（前身 GPT Engineer）5 萬顆星，pre-seed 750 萬，Series A 2 億美元，估值 18 億
Browser-use 3 個月衝到 5 萬顆星，進 YC W25 批次，seed 1,700 萬
Pangolin 2025 年 1 月 1,000 顆星，8 月拿 YC + 470 萬 seed
LangChain Benchmark 領投 1,000 萬 seed

這些都不是「假」項目，但同一條通道中，「假」項目也在並行。

Organization Science 2025 年發表過一篇統計研究：在 GitHub 上活躍的初創公司拿到融資的概率比不活躍的高 15 個百分點（這 15 個百分點對偽造星標的一方是一個非常清晰的 KPI）。

最具體的案例是 Union Labs。

2025 年 Q2，它以 54.2 倍的 star 增長率（當時 7.43 萬顆星）登上 Runa Capital ROSS Index 第一名，但其中 32.7% 的 stargazer 賬號零 repo，52% 零 follower，fork/star 比 0.052。（正常項目的基準線是 0.235）

我的分析框架也踩一樣的坑

我的 OSS Investment Scorecard 在 v1.3 版本之前，A 維度（生態系統）的主要支撐就是 GitHub star 數、下載量、外部貢獻者增速這類”可量化傳播指標”，權重 25%。

如果 Union Labs 這種項目跑進我的 Scorecard，A 維度大概率給到 7 分以上，總分能進 Watch 檔位。

三周前，我在對開源項目 Multica AI 進行例行深度評估時，引入了一個新模塊：star 健康度評估。

它試圖回答一個問題：這個倉庫宣稱的受歡迎程度，和它真實的使用行為之間，有沒有出現不自然的落差？

➡️ 指標 1｜star/fork 比

stars ÷ forks，衡量「點贊者」與「下載使用者」的比例。

點 star 的成本是零；fork 的成本是實際把代碼拉下來準備用或改。真實的項目里這兩個數字保持穩定比例，因為用戶興趣到實際使用之間存在自然轉化率。

經驗參考區間：通常 5 到 10 倍，超過 20 倍進入警戒帶。

➡️ 指標 2｜star/issue 比

stars ÷ issues，衡量「表態型關注」與「問題型參與」的比例。

開 issue 是比 star 高一檔的參與行為——需要遇到真實問題、有能力描述、願意花時間寫下來。真實被使用的倉庫會收到大量 bug report、feature request、usage question。

經驗參考區間：工具類和庫類項目比框架類高，框架類健康帶約 50 到 100 倍。不同類型的 repo 有不同的合理區間。

➡️ 指標 3｜fork 率

forks ÷ stars，是指標 1 的倒數形式。

同時保留兩種寫法的原因是大部分學術研究和外部數據源用的是 fork-to-star ratio。兩種都保留，方便跨數據源直接比對，不用來回換算。

經驗參考區間：Flask、LangChain、AutoGPT 等 AI Infra 項目的 fork 率 9% 到 23%；頭部 AI 工具（crewAI、dify、agno、mem0、browser-use）約 12% 到 13%。

➡️ 指標 4｜watcher 率

watchers ÷ stars，衡量「追更者」與「點贊者」的比例。

watcher 這個動作需要用戶主動二次點擊，沒有任何社交回報。它是所有指標里幾乎完全不被刷星產業關注的一個，因為製造假 watcher 對任何人都沒有營銷價值。

這讓 watcher 率成為一條不受污染的基準線。

GitHub REST API 里 watchers_count 字段因為 2012 年的向後兼容決定，實際返回的是 star 數。真實的 watcher 數需要讀 subscribers_count 字段，寫腳本的時候用錯字段，這個指標就廢了。

➡️ 指標 5｜外部貢獻者 commit 佔比

非核心團隊成員（Top-N 以外的貢獻者）提交的 commit 總數 ÷ 全部 commit 總數。

這是唯一一個不測”star 真實性”、而測”社區真實性”的指標。一個倉庫可以有真實的 star，但完全沒有真實的社區。這是兩種不同的風險。

經驗參考區間：框架類開源項目典型值 20% 到 40%。低於 10% 意味著項目實質上是單團隊產品。這時候需要和 commit 集中度分析模組結合判斷——一個看外部參與、一個看內部集中，兩者共同決定這是”社區項目”還是”團隊項目開源化”。

⭕️ star 健康度的設計參考了兩份研究：

Borges et al.（2018, ICSE） —— GitHub star 用戶行為模式研究，為”star 成本極低、不一定反映使用”這類判斷提供學術原始出處。

Koch et al.（2024） —— star 數量與實際使用指標（download、import count、Stack Overflow 提問數）相關性的實證分析。

star 健康度模塊也有盲區

這 5 個指標都在測一件事：倉庫對外被怎麼交互。但它們不測那些交互是誰發起的。

如果刷星方批量造一批 3 年以上、有少量 commit 記錄的 aged account，讓這些賬號在點 star 之外順手 fork 一下、偶爾 watch 一下，5 個指標可以全部顯示健康。

CMU 的 StarScout 走的是另一條路徑——不看倉庫行為，看 stargazer 賬號本身。

他們抽樣每個倉庫 150 個 stargazer 賬號，逐一核查賬號年齡、follower 數、公開 repo 數、有沒有 bio。兩種指紋立刻分開：Flask 的 stargazer 賬號中位年齡 4,801 天（約 13 年），Shardeum 的是 997 天。Flask 的 ghost 賬號比例 1.3%，Shardeum 的是 28.7%。

同一個問題——這顆星可不可信——兩條完全不相交的證據鏈。

v1.3.2 要改的兩件事

➡️ 把 stargazer profile 抽樣加進來。

每個倉庫取 150 個 stargazer 做身份畫像分析：賬號年齡中位數、零 repo 比例、零 follower 比例、ghost 賬號比例。單次評估預算從 20 分鐘增加到 40 分鐘。這是對 Star 健康度模塊盲區的直接填補。

➡️ 把 star 健康度的輸出從布爾值改成 star 折扣系數。

現在的模塊只能給出”這個倉庫可信 / 不可信”的二元判斷。要做的是把 7 萬顆宣稱的星折算成”其中有效的 3.7 萬顆”，再放回 Scorecard 的生態評估維度並參與加權計算。

一個沒法回答的問題

CMU 識別的那 301,000 個假賬號，到 2025 年 1 月 GitHub 刪了 57%，剩下 43% 還在樣本池里。

每次檢測方法公開，「刷星」方就會按這個方法反向優化，這好像是無法避免的。

我把 Scorecard 放在開源倉庫的一個原因也在這裡：單靠我一個人跟不上一個年產值幾百萬美元的產業反向迭代的速度，方法論公開之後，別人能挑出我沒看到的盲區，補上我還沒想到的指標。

你怎麼看？

如果你覺得這篇文章對你有幫助，請為項目點上真 ⭐

---------------------------------------

⭕️ 我歷經兩次創業成功退出，目前擔任新加坡風險投資機構入駐企業家（E.I.R）。我正身處中美 AI 科技一線，親歷時代賦予的這一段波瀾壯闊，十五年產品商業化戰略和資本運作經驗，深度關注全球華人科技創業，歡迎你隨時找我交流創業題目！

如果你喜歡我的文章；歡迎在評論區訂閱我的 Substack 頻道查閱過往我撰寫的內容！