Die Wahrheit hinter GitHubs Wirtschaft mit gefälschten Stars

 (awesomeagents.ai)
5 Punkte von GN⁺ 9 일 전 | 7 Kommentare | Auf WhatsApp teilen
  • Rund um den Handel mit Stars auf GitHub hat sich ein eigenes Ökosystem über spezialisierte Websites, Freelancer-Plattformen, Tausch-Netzwerke und private Kanäle gebildet; in einer Analyse für den Zeitraum 2019 bis 2024 wurden rund 6 Millionen verdächtige Fake-Stars identifiziert, verteilt auf 18.617 Repositories und etwa 301.000 Accounts
  • 2024 nahm die Zahl der Fake-Star-Kampagnen stark zu; 16,66 % der Repositories mit mindestens 50 Stars waren demnach betroffen, und gekaufte Stars wurden tatsächlich genutzt, um in GitHub Trending zu erscheinen und die Discovery-Algorithmen der Plattform zu umgehen
  • Fake-Stars werden je nach Account-Qualität und Zustellungsart zu Preisen von 0,03 bis 0,90 US-Dollar pro Star verkauft; die Infrastruktur wurde zudem um Tools zur Manipulation von Contribution-Graphen, den Verkauf vorgefertigter Profile, Ersatzgarantien und sogar Kauf-APIs erweitert
  • Die Zahl der GitHub-Stars ist direkt mit Kennzahlen für die Investorengewinnung verknüpft und wird als Richtwert in Seed- und Series-A-Phasen genutzt; der günstige Kauf von Stars erzeugt so eine sich selbst verstärkende Schleife aus aufgeblähter Traction-Wahrnehmung und Finanzierung
  • Als erster Filter zur Erkennung von Manipulationen werden das Verhältnis von Stars zu Forks sowie von Stars zu Watchern genannt; trotz GitHub-Verboten laut Richtlinien und der Durchsetzung von FTC-Regeln werden Accounts seltener als Repositories gelöscht, strukturelle Gegenmaßnahmen sind bislang also nicht umgesetzt

6 Millionen Fake-Stars

  • Die Analyse StarScout von Forschenden der Carnegie Mellon University, North Carolina State University und Socket untersuchte für den Zeitraum 2019 bis 2024 20 TB GitHub-Metadaten, 6,7 Milliarden Events und 326 Millionen Stars; dabei wurden rund 6 Millionen verdächtige Fake-Stars identifiziert, verteilt auf 18.617 Repositories und etwa 301.000 Accounts
  • 2024 nahm die Zahl der Fake-Star-Kampagnen sprunghaft zu; im Juli waren 16,66 % der Repositories mit mindestens 50 Stars betroffen
    • Vor 2022 lag der Wert nahezu bei 0
  • Auch die Überprüfung der Erkennungsgenauigkeit stützt das Ergebnis: Von den durch StarScout markierten Repositories waren 90,42 %, von den Accounts 57,07 % bis Januar 2025 gelöscht
    • Das stützt die Annahme, dass GitHub dies ebenfalls als anomale Aktivität erkannt hat
  • Unter den Repositories, die von Fake-Stars profitierten, bildeten AI- und LLM-bezogene Repositories die größte nicht-schädliche Kategorie; in absoluten Zahlen wurden 177.000 Fake-Stars gezählt
    • Zitiert wird, dass darunter viele Repositories zu wissenschaftlichen Arbeiten oder Produkte von LLM-Startups seien
  • 78 Repositories mit nachgewiesenen Fake-Star-Kampagnen erschienen in GitHub Trending; gekaufte Stars wurden also tatsächlich genutzt, um die Discovery-Algorithmen der Plattform zu umgehen
  • In einer Dagster-Untersuchung vom März 2023 kauften Ingenieur:innen direkt bei zwei Anbietern Stars, um das Phänomen zu verifizieren
    • Das in Deutschland registrierte Unternehmen GitHub24 verlangte 0,85 EUR pro Star, und alle 100 Stars waren auch einen Monat später noch vorhanden
    • Baddhi Shop verkaufte 1.000 Stars für 64 US-Dollar, die Bestandsquote wurde jedoch nur mit etwa 75 % angegeben

Marktplatz

  • Das Ökosystem für den Verkauf von GitHub-Stars erstreckt sich über spezialisierte Websites, Freelancer-Plattformen, Tausch-Netzwerke und private Kanäle; mindestens 12 aktive Websites verkaufen GitHub-Stars direkt
    • Genannt werden etwa SocialPlug.io, Buy.fans, Boost-Like.store, GitHubPromoter.com, Followdeh.com und Vurike.com
  • Die Preise unterscheiden sich nach Account-Qualität und Zustellungsart
    • Im Niedrigpreissegment 0,03 bis 0,10 US-Dollar pro Star, Lieferung innerhalb weniger Tage, Einsatz neuer oder leerer Profile
    • Im mittleren Segment 0,20 bis 0,50 US-Dollar, Lieferung in ein bis zwei Wochen, teils mit Aktivitätshistorie
    • Im Premiumsegment 0,80 bis 0,90 US-Dollar, mit angeblich schrittweiser und natürlicher Zustellung sowie Accounts, die mehrere Jahre alt sind und Repository- sowie Contribution-Historie enthalten
  • Auch auf Fiverr werden mit 24 aktiven Gigs GitHub-Promotions verkauft; einfache Stars und Forks kosten 5 US-Dollar, „organic promotion“ wird ab 25 US-Dollar angeboten
    • Um Plattformfilter zu umgehen, werden beschönigende oder ausweichende Formulierungen verwendet
  • Auch Star-Tauschplattformen wie GithubStarMate.com und SafeStarExchange.com sind in Betrieb und bieten ein kreditbasiertes wechselseitiges Star-System
  • Die Infrastruktur geht inzwischen über den Star-Verkauf hinaus und reicht bis zur Manipulation von GitHub-Contribution-Graphen
    • Mindestens sieben Open-Source-Tools wie fake-git-history, commit-bot und Commiter existieren gezielt zur Fälschung von GitHub-Contribution-Historien
    • Vorgefertigte GitHub-Profile mit fünf Jahren Commit-Historie und dem Badge Arctic Code Vault Contributor werden auf Telegram für rund 5.000 US-Dollar verkauft
  • Einige Verkäufer bieten sogar eine Ersatzgarantie
    • Followdeh wirbt mit einer 30-Tage-Garantie
    • Premiumdienste versprechen „non-drop“-Stars, die die GitHub-Erkennung überstehen sollen
    • SocialPlug behauptet, mehr als 3,1 Millionen Stars an über 53.000 Kund:innen geliefert zu haben, und bietet zudem eine Kauf-API an
  • Eine ACSAC-2020-Studie der Tsinghua University dokumentierte die kommerzielle Struktur chinesischer QQ- und WeChat-Promotionsgruppen
    • Mehr als 1.020 Mitglieder bearbeiteten pro Tag etwa 20 Repositories
    • Der Gewinn der Promoter wurde auf 3,4 bis 4,4 Millionen US-Dollar pro Jahr geschätzt

Eigene Analyse: Merkmale gefälschter Stargazer

  • Es wurde ein auf der GitHub-API basierendes Analysetool aufgebaut, mit dem 20 Repositories untersucht wurden; dabei wurden von StarScout markierte Repositories, stark wachsende KI-Repositories aus dem Runa Capital ROSS Index sowie organische Basislinien-Repositories gemeinsam verglichen
  • Für jedes Repository wurden je 150 Stargazer-Profile als Stichprobe gezogen und dabei das Kontoalter, die Zahl öffentlicher Repositories, die Zahl der Follower und das Vorhandensein einer Selbstbeschreibung gemessen
  • Manipulationsspuren zeigten sich wiederholt in einigen gemeinsamen Kennzahlen
    • Auch wenn Konten nicht extrem neu sind, ist der Anteil leerer Accounts hoch
    • Das Verhältnis von Forks zu Stars und von Watchern zu Stars ist deutlich niedriger als bei organischen Repositories

  • Organische Basislinie

    • Das Medianalter der Accounts bei Flask, LangChain und AutoGPT wird mit 4801 Tagen, 2967 Tagen bzw. 4022 Tagen angegeben; viele Stargazer erscheinen damit als Entwickler, die GitHub seit langer Zeit nutzen
    • Der Anteil ohne öffentliche Repositories liegt bei 5,3 %, 5,9 % und 2,0 %, auch der Anteil mit 0 Followern ist mit 10,0 %, 11,8 % und 5,9 % eher niedrig
    • Der Anteil an Ghost-Accounts bei Flask wird mit 1,3 % angegeben, der Anteil suspicious accounts bei Flask, LangChain und AutoGPT mit 0,0 %
    • Das Verhältnis von Forks zu Stars liegt bei Flask bei 0,235, bei LangChain bei 0,155 und bei AutoGPT bei 0,090, was darauf hindeutet, dass reale Nutzung und Anpassung des Codes in gewissem Maß mitlaufen
    • Das Verhältnis von Watchern zu Stars beträgt bei Flask 0,029, bei LangChain 0,006 und bei AutoGPT 0,005
    • Die Stargazer organischer Repositories waren über Jahre aktiv, besitzen eigene Projekte und zeigen typische Entwicklermerkmale wie das Folgen anderer Nutzer
    • Ghost-Accounts mit 0 Repositories, 0 Followern und ohne Selbstbeschreibung liegen bei gesunden Projekten demnach bei rund 1 %

  • Manipulierte Blockchain-Repositories

    • Das Medianalter der Accounts bei Union Labs, Shardeum, FreeDomain und Anoma liegt im Bereich von 997 bis 1180 Tagen und passiert damit einfache Filter für neue Konten
    • Im Inneren sind diese Accounts jedoch leer: Der Anteil mit 0 öffentlichen Repositories liegt zwischen 28,0 % und 38,0 %, der Anteil mit 0 Followern zwischen 52,0 % und 81,3 % und der Anteil an Ghost-Accounts zwischen 19,3 % und 28,7 %
    • Das Verhältnis von Forks zu Stars wird mit 0,052 für Union Labs, 0,022 für Shardeum, 0,017 für FreeDomain und 0,121 für Anoma angegeben
    • Auch das Verhältnis von Watchern zu Stars ist sehr niedrig, etwa 0,001 bei FreeDomain
    • Dieses Muster wird so interpretiert, dass ältere Accounts gekauft oder farmartig beschafft und anschließend in Star-Kampagnen eingesetzt wurden
    • Das Verhältnis von Forks zu Stars wird als stärkstes Signal genannt
      • Flask hat 235 Forks pro 1000 Stars
      • Shardeum 22
      • FreeDomain 17
    • Das Verhältnis von Watchern zu Stars weist in dieselbe Richtung; 0,001 bei FreeDomain bedeutet, dass pro 1000 Stars nur etwa ein Nutzer tatsächliche Updates beobachtet

  • FreeDomain

    • Das Repository hat 157.000 Stars, aber nur 168 Watcher und 2676 Forks
    • Das Verhältnis von Watchern zu Stars ist 26-mal niedriger als bei Flask
    • Unter den gesampelten Stargazern haben 81,3 % 0 Follower, was eine Account-Struktur mit kaum sichtbarer Aktivitätsbasis auf GitHub offenlegt

  • Union Labs

    • Das Projekt wurde im 2. Quartal 2025 auf Platz 1 des Runa Capital ROSS Index gesetzt und verzeichnete ein 54,2-faches Star-Wachstum sowie 74.300 Stars
    • In der eigenen Analyse wurden 32,7 % Accounts ohne öffentliche Repositories, 52 % Accounts mit 0 Followern und ein Verhältnis von Forks zu Stars von 0,052 festgestellt
    • In der StarScout-Analyse wurde es mit 47,4 % mutmaßlich gefälschten Stars markiert
    • Damit wird sichtbar, dass in einem einflussreichen Discovery-Report für Investoren, auf den VCs Bezug nehmen, ganz oben ein Projekt stehen kann, bei dem fast die Hälfte der Stars künstlich sein könnte

  • KI-Sektor

    • Der Vergleich von RagaAI, openai-fm, Langflow und hermes-agent zeigt, dass die Kennzahlen auch innerhalb von KI-Repositories stark auseinandergehen
    • RagaAI-Catalyst verzeichnete 76,2 % Accounts mit 0 Followern und 28,0 % Ghost-Accounts und liegt damit nahezu auf dem gleichen Niveau wie das Blockchain-Muster
    • openai-fm wird als extremster Fall im gesamten Datensatz beschrieben
      • suspicious accounts 66,0 %
      • Ghost-Accounts 36,0 %
      • Medianalter der Accounts 116 Tage
      • Zwei Drittel der Stargazer sind jünger als ein Jahr und zeigen kaum GitHub-Aktivität
      • StarScout merkt an, dass es sich hierbei mit hoher Wahrscheinlichkeit nicht um OpenAI selbst, sondern um Drittanbieter-Bots handelt
    • Langflow wurde von StarScout zwar mit 47,9 % fake markiert, in der Analyse der Profilstichprobe zeigte sich jedoch mit einem Medianalter von 2859 Tagen und einer niedrigen Ghost-Quote ein vergleichsweise sauberes Bild
      • Es wird die Möglichkeit angesprochen, dass sich die Account-Qualität nach dem StarScout-Scan verbessert hat
      • Allerdings liegt das Verhältnis von Forks zu Stars mit 0,060 weiterhin nur bei etwa einem Viertel von Flask
    • NousResearchs hermes-agent wird als relativ organisches Repository eingestuft
      • Medianalter der Accounts 8 Jahre
      • Ghost-Accounts 6 %
      • Verhältnis von Forks zu Stars 0,133
      • Unabhängig von Astroturfing-Vorwürfen auf Reddit werden die meisten Stargazer als echte Entwickler eingeschätzt
      • Wegen einer kryptonahen Nutzerschaft ist der Anteil mit 0 Followern etwas höher, das grundlegende Engagement-Muster wird jedoch als legitim bewertet

Wie Stars zu Finanzierung werden

  • Die Verbindung zwischen der Zahl der GitHub-Stars und der Finanzierung von Startups wird nicht als Vermutung, sondern als von Investoren selbst dokumentierter Zusammenhang dargestellt
  • Jordan Segall von Redpoint Ventures analysierte 80 Developer-Tools-Unternehmen; dabei lag der Medianwert bei Seed-Investments bei 2850 Stars, bei Series A bei 4980 Stars
    • Er erwähnt ausdrücklich, dass viele VCs interne Scraping-Programme betreiben, um schnell wachsende GitHub-Projekte zu finden, und dass Stars dabei die am häufigsten betrachtete Kennzahl sind
  • Diese Zahlen liefern Startups faktisch ein Kaufziel
    • Bei günstigen Stars lassen sich mit 85 bis 285 Dollar die 2850 Stars des Seed-Medians manipulieren
    • Mit 990 bis 4500 Dollar wird ein Zugang in den Series-A-Bereich möglich
    • Ausgehend von typischen Seed-Runden von 1 bis 10 Millionen Dollar ergibt sich eine ROI-Spanne von 3500-fach bis 117.000-fach
  • Runa Capital veröffentlicht quartalsweise den ROSS Index und rankt darin die 20 Open-Source-Startups mit dem höchsten GitHub-Star-Wachstum
    • Laut TechCrunch haben 68 % der dort aufgeführten Startups in der Seed-Phase Kapital aufgenommen, bei einem gesamten nachverfolgten Volumen von 169 Millionen Dollar
  • GitHub investiert über den GitHub Fund in Zusammenarbeit mit M12 jährlich 10 Millionen Dollar und fördert auf Basis unter anderem von Plattform-Traction 8 bis 10 Open-Source-Unternehmen in der Pre-Seed- und Seed-Phase
  • Es werden mehrere Beispiele genannt, in denen Stars in Finanzierung mündeten
    • Lovable: mehr als 50.000 Stars, 7,5 Millionen Dollar Pre-Seed, bei 45 Mitarbeitenden eine Series A über 200 Millionen Dollar bei einer Bewertung von 1,8 Milliarden Dollar

    • Pangolin**: 1000 Stars im Januar 2025, Aufnahme bei Y Combinator, bis August 2025** 4,7 Millionen Dollar Seed

    • Browser-use**: 50.000 Stars in drei Monaten, Y Combinator W25,** 17 Millionen Dollar Seed

      • LangChain: in der Seed-Phase eine Investition von 10 Millionen Dollar durch Benchmark
      • Fraser Marlow von Dagster sagte ebenfalls direkt, dass er kurz vor dem Fundraising viel Aufmerksamkeit auf GitHub-Stars gelegt habe
      • Eine Arbeit in Organization Science zeigt statistisch eine Korrelation zwischen GitHub-Aktivität und dem Finanzierungserfolg von Startups
      • Bei auf GitHub aktiven Startups war die Wahrscheinlichkeit, eine Finanzierungsrunde einzuwerben, um 15 Prozentpunkte höher
      • Insgesamt entsteht damit eine selbstverstärkende Schleife aus Star-Tracking durch VCs → Manipulation durch Startups → aufgeblähte Wahrnehmung von Traction → stärkere Übernahme durch weitere VCs → noch mehr Manipulation
      • Die öffentlich genannten Richtwerte von Redpoint liefern Startups damit eine exakt bezifferte Zielgröße

Verhältnis von Forks zu Stars: eine einfache Erkennungsheuristik

  • In der eigenen Analyse erwies sich das Verhältnis von Forks zu Stars als stärkster einfacher Indikator zur Identifizierung potenzieller Manipulation
  • Die Logik ist einfach
    • Stars lassen sich ohne Kosten vergeben und bedeuten kein echtes Commitment
    • Forks bedeuten, dass der Code heruntergeladen und genutzt oder verändert wurde
  • Die durchschnittlichen Verhältnisse von Forks zu Stars nach Kategorie werden wie folgt angegeben
    • 3 Repositories mit organischer Baseline: 0.160
    • 5 Repositories mit AI-Tools: 0.124
    • 4 Repositories im mutmaßlich manipulierten Blockchain-Cluster: 0.053
    • 2 Extremfälle: 0.020
  • Als Kriterium wird vorgeschlagen, dass Repositories mit mehr als 10.000 Stars und einem Verhältnis von Forks zu Stars unter 0,05 genauer geprüft werden sollten
  • Das Verhältnis von Watchern zu Stars wird als intuitiveres Zusatzsignal genannt
    • Organische Projekte liegen im Schnitt bei 0.005 bis 0.030
    • FreeDomain liegt bei 0.001
  • Dieses Verhältnis ist kein perfektes Unterscheidungskriterium; bei Bildungs-Repositories oder kuratierten Listen kann die Fork-Rate von Natur aus niedrig sein
  • Dennoch wird es als wirksamer erster Filter bewertet, um die schlimmsten Fälle zu erfassen, die mit bloßen Star-Rohzahlen übersehen würden

Gefälschte Popularität außerhalb von GitHub

  • Dasselbe Phänomen weitet sich auf alle Plattformen aus, auf denen Beliebtheitsmetriken Vertrauen beeinflussen
  • npm-Downloadzahlen lassen sich sehr leicht aufblasen
    • Andy Richardson trieb das Paket is-introspection-query nur mit dem Free Tier einer einzelnen AWS-Lambda-Funktion auf fast 1 Million Downloads pro Woche
    • Das lag über legitimen Paketen wie urql und mobx, tatsächliche Nutzer gab es laut Darstellung jedoch 0
    • In einer CMU-Studie tauchten nur 1,23 % der Repositories mit Fake-Star-Kampagnen auch in Paketregistern auf, doch unter diesen 738 Paketen hatten 70,46 % null abhängige Projekte
  • Erweiterungen im VS Code Marketplace zeigen dieselbe Verwundbarkeit
    • Forschende wiesen innerhalb von 48 Stunden mehr als 1000 gefälschte Installationen einer Erweiterung nach
    • AquaSec fand 1283 Erweiterungen mit bekannten bösartigen Abhängigkeiten, zusammen mit 229 Millionen Installationen
  • X/Twitter-Promotion verstärkt künstliche GitHub-Viralität
    • In privaten Gruppen namens engagement pods tauschen Mitglieder gegenseitig Likes, Reposts und Kommentare aus
    • Growth Terminal verkauft dies als Produktfunktion
    • NBC News und Forschende der Clemson University identifizierten ein Netzwerk aus 686 X-Accounts, das mit LLM-generierten Inhalten mehr als 130.000 Posts veröffentlichte
    • Manche Beiträge enthielten Formulierungen wie „Dolphin here!“ als Spuren des verwendeten Modells
  • Im Fall Higgsfield AI wurde plattformübergreifendes Astroturfing in großem Umfang dokumentiert
    • Mehr als 100 Spam-Posts in über 60 Subreddits
    • Kombiniert mit massenhaft versendeten Template-DMs, die Content-Creatorn Gegenleistungen für Promotion anboten

Das kaum erwähnte rechtliche Risiko

  • Die FTC Consumer Review Rule gilt ab dem 21. Oktober 2024 und verbietet ausdrücklich den Kauf oder Verkauf „gefälschter Social-Media-Einflussmetriken“, die für kommerzielle Zwecke auf Bots oder Fake-Accounts beruhen
  • Als Sanktion werden bis zu 53.088 US-Dollar pro Verstoß genannt
  • Die FTC verschickte am 10. Dezember 2025 ihre ersten Warnschreiben an Unternehmen und beschreibt den Kauf von GitHub-Stars zur Vermarktung kommerzieller Produkte als passend zu diesem Rahmen
  • SEC-Präzedenzfälle werden zudem als direktere Beispiele genannt
    • Dem CEO von HeadSpin wurde Wire Fraud und Securities Fraud vorgeworfen, weil er Kennzahlen aufgeblasen und so 80 Millionen US-Dollar von Investoren eingeworben haben soll
    • Der Gründer von ComplYant sieht sich mit Anklagen konfrontiert, weil er 250.000 US-Dollar Monatsumsatz behauptet haben soll, tatsächlich seien es 250 US-Dollar gewesen
  • Die SEC sendet damit die Botschaft, dass Startup-Fundraiser die Kultur des „fake it until you make it“ nicht zur Täuschung von Investoren nutzen können
  • Wenn ein Startup im Fundraising-Prozess mit gefälschten GitHub-Stars seine Traction aufbläht und ein Investor daraufhin auf Basis dieser Metrik Kapital bereitstellt, könne der Wire-Fraud-Rahmen wegen falscher Darstellung wesentlicher Tatsachen über elektronische Kommunikationsmittel anwendbar sein
  • Zwar gibt es noch keinen Fall, in dem allein wegen gefälschter GitHub-Stars Anklage erhoben wurde, doch angesichts der groß angelegten empirischen Belege aus der CMU-Studie und des ausdrücklichen FTC-Verbots wird vermutet, dass es nur eine Frage der Zeit sein könnte

GitHubs Reaktion

  • GitHubs Acceptable Use Policies verbieten ausdrücklich unauthentische Interaktionen, Fake-Accounts und automatisierte unauthentische Aktivitäten, Ranking-Missbrauch wie automatisierte Stars oder Follows sowie die Teilnahme an Sekundärmärkten zur Verbreitung unauthentischer Aktivität
  • Auch durch Belohnungen wie Krypto-Airdrops, Token, Credits oder Geschenke ausgelöste Stars sind laut Richtlinie verboten
  • Die Durchsetzung wird als reaktiv und asymmetrisch bewertet
    • Von StarScout markierte Repositories wurden zu 90,42 % gelöscht, von den Accounts, die diese Stars geliefert hatten, jedoch nur 57,07 %
    • Ein erheblicher Teil der Account-Infrastruktur für künftige Kampagnen bleibt bestehen
  • Auch in der Dagster-Untersuchung wurden Fake-Star-Profile zwar innerhalb von 48 Stunden gelöscht, dies wird jedoch als Reaktion nach öffentlicher Bloßstellung dargestellt, nicht als Fall proaktiver Erkennung
  • GitHub hat weder einen Engineering-Blogpost veröffentlicht, der Erkennungsmethoden oder Durchsetzungsstatistiken zu Star-Manipulation behandelt, noch einen separaten Transparenzbericht
  • GitHubs VP of Security Operations erklärte gegenüber Wired lediglich, man habe die Accounts gemäß den Richtlinien deaktiviert, und lehnte weitere Erklärungen ab
    • Es wird jedoch ausdrücklich klargestellt, dass sich diese Aussage nicht auf die Manipulation von Vanity Metrics, sondern auf die Malware-Operation Stargazers Ghost Network bezog
  • Forschende der CMU empfehlen die Einführung einer gewichteten Popularitätsmetrik auf Basis von Netzwerkzentralität anstelle roher Star-Zahlen
    • Dies wird als Änderung dargestellt, die die Ökonomie gefälschter Stars strukturell schwächen könnte
  • GitHub hat diese Empfehlung bislang nicht umgesetzt

Welche Metriken VC stattdessen betrachten sollten

  • Bessemer Venture Partners bezeichnet Stars als vanity metrics und verfolgt stattdessen die monatliche Aktivität einzigartiger Mitwirkender
    • Einschließlich Personen, die Issues erstellen, kommentieren, PRs einreichen oder Commits ausführen
    • Unter den Top-10.000-Projekten überschritten weniger als 5 % die Marke von 250 monatlichen Mitwirkenden
    • Nur 2 % hielten dieses Niveau über 6 Monate in Folge
  • Jono Bacon von StateShift empfiehlt 5 Kennzahlen mit Korrelation zur tatsächlichen Adoption
    • Paket-Downloadzahlen
    • Die Qualität von Issues, in denen Produktions-Edge-Cases realer Nutzer sichtbar werden
    • Contributor Retention, gemessen an der Zeit bis zum zweiten PR
    • Die Tiefe von Community-Diskussionen
    • Usage-Telemetrie
  • Das in der eigenen Analyse sichtbare Verhältnis von Forks zu Stars wird als einfachster erster Filter genannt
    • Gesunde Projekte haben grob 100 bis 200 Forks pro 1000 Stars
    • Wenn die absolute Zahl an Stars hoch ist, aber weniger als 50 Forks pro 1000 Stars vorliegen, ist zusätzliche Prüfung nötig
  • Als Zitat wird der Satz genannt: „Die Zahl der Stars kann man fälschen, aber einen Bugfix, der jemandem das Wochenende gerettet hat, kann man nicht fälschen.“

Strukturelle Probleme

  • Als Grund dafür, dass sich die Wirtschaft mit gefälschten Stars selbst verstärkt, werden drei Dynamiken genannt

  • Incentive-Loop

    • VCs nutzen Stars als Sourcing-Signal
    • Startups manipulieren Stars
    • VCs bestätigen aufgeblähte Traction
    • Weitere VCs übernehmen das Tracking von Stars
    • Es entsteht eine zirkuläre Struktur, in der noch mehr Startups in die Manipulation einsteigen
    • Redpoints öffentliche Benchmarks 2850 für Seed, 4980 für Series A fungieren faktisch als Einkaufsmengenliste

  • Verwundbarkeit des AI-Sektors

    • Überhitzung, kryptoaffine Finanzierungsstrukturen, die Token-Preise stärker belohnen als Produktqualität, und ein X/Twitter-Rezensenten-Ökosystem mit manipulierten Personas kommen zusammen und schaffen ein Umfeld, das hergestelltes Vertrauen begünstigt
    • Auch in der eigenen Analyse wurden viele der Repositories mit den schlechtesten Manipulationssignalen als Blockchain- und kryptoaffine AI-Projekte identifiziert

  • Asymmetrie bei der GitHub-Durchsetzung

    • Die Struktur, bei der Repositories entfernt werden, aber 57 % der Fake-Accounts bestehen bleiben, bewahrt die Arbeitskraft der Wirtschaft mit gefälschten Stars
    • Die Abschreckung bei wiederholten Verstößen ist schwach
    • Es wird zusammengefasst, dass sich die Lücke zwischen der Zahl der Stars und der tatsächlichen Akzeptanz unter Entwicklern weiter vergrößern wird, solange GitHub keine strukturellen Änderungen wie gewichtete Popularitätsmetriken, Reputationsscores auf Account-Ebene und transparente Durchsetzungsberichte einführt
    • Die Wirtschaft mit gefälschten Stars wird als eine Struktur zusammengefasst, in der ein 50-Dollar-Problem zu einem 50-Millionen-Dollar-Ergebnis führt
    • Abschließend heißt es, dass der Markt diese 50 Dollar weiter zahlen wird, bis Plattformen, Investoren und Regulierungsbehörden aufholen

Verwandte Beiträge

7 Kommentare

 
pdpatgtpmdt2843 9 일 전

Diese Betrüger von oh-my-claudecode oder claw-code, haha
 
savvykang 9 일 전

SKT war offenbar ein äußerst fortschrittliches Unternehmen.
 
guarder 7 일 전

Daran musste ich auch denken. Unglaublich, dass das schon 7 Jahre her ist.
 
ndrgrd 9 일 전

Persönlich setze ich bei Stars eher eine Mindestschwelle an, nutze sie aber nicht als eigenständigen Maßstab für ein Urteil.
Ein Projekt mit nicht einmal 100 Stars betrachte ich etwas misstrauischer, aber nur weil es mehr als 50.000 Stars hat, vertraue ich ihm noch lange nicht automatisch.
 
shakespeares 9 일 전

Das ist die richtige Haltung.
 
edunga1 8 일 전

Der Ansatz über Stargazer-basierte Bewertung ist gut.
In letzter Zeit gibt es viele Repositories, bei denen selbst 10.000 oder 100.000 Sterne kein sicheres Zeichen mehr sind, daher wäre es gut, wenn GitHub schnell reagiert.
 
GN⁺ 9 일 전
Hacker-News-Kommentare
  • Ich kann absolut nicht nachvollziehen, dass VCs echte Investmententscheidungen anhand imaginärer Internetpunkte wie GitHub stars treffen. Das wirkt so, als würde ein NFL-Team seinen Quarterback nach Instagram-Followern statt nach Passquote auswählen. Selbst wenn man sich die Bilanz der Cleveland Browns ansieht, wirkt das eher wie ein Witz als wie eine ernsthafte Meisterschaftsstrategie. Da fragt man sich, ob das Faulheit der VCs ist oder eine Nebenwirkung davon, dass in einem Umfeld wie ZIRP einfach zu viel Geld im Umlauf war. Wenn jemand mein Geld nach stars steuern wollte, würde ich erst lachen und dann sehr schnell ernst werden
  • Ich habe bei der Auswahl von Bibliotheken fast nie auf stars geschaut und weiß ehrlich gesagt auch nicht, warum man das tun sollte. Ich schaue auf den Zeitpunkt der letzten Commits, das Alter des Projekts, wie mit Issues umgegangen wird und ein Stück weit auf die Codequalität. stars sind am Ende entweder nur ein indirektes Ergebnis solcher substanziellen Metriken oder Betrug; ohne direkten Blick darauf haben sie für mich keine Bedeutung. Für mich waren stars schon immer eher ein „Lesezeichen, um es später noch einmal anzusehen“, und ich war überrascht, dass sie als Qualitätsindikator verkauft werden. Ich wünschte, die FTC würde gegen solche Praktiken härter vorgehen. Auch die Commit-Historie nur grob zu überfliegen ist ziemlich nützlich, weil man dabei Art der Veränderungen und die cadence erkennt
    • Dass Menschen sich letztlich von glitzernden Schmuckstücken anziehen lassen, passt als Bild ziemlich gut zu Napoleons Ausspruch, dass Ruhm, Orden und Belohnungen Menschen antreiben
    • Selbst wenn ich persönlich nicht auf stars schaue, bleibt es ein Problem, wenn die Autoren meiner Abhängigkeiten sich von dieser Zahl beeinflussen lassen
  • Bei solchen Artikeln wirkt es oft so, als ließe sich das Problem lösen, wenn man nur an einer Stelle etwas nachjustiert, aber aus meiner Sicht ist das System selbst viel grundlegender kaputt. Der Kern ist, dass das Signal selbst zur Ware geworden ist. Wenn man ein SaaS baut, melden sich Journalisten, die gegen Geld einen Platz auf einer „Top Apps des Jahres“-Liste anbieten, Händler, die Social-Follower erhöhen wollen, und Recruiter, die angeblich niche Spezialisten finden, am Ende aber nur LinkedIn-Scraping und Spam betreiben. Beim Hiring habe ich tatsächlich Kandidaten gesehen, die in einer Interview-Farm in Ostasien saßen, sich mit einer Washington-D.C.-IP einwählten, einen europäisch wirkenden Namen nutzten, einen synthetischen Hintergrund einschalteten und so taten, als könnten sie jede im Stellenangebot genannte Technologie. Sobald es eine wichtige Kennzahl gibt, entsteht schnell ein Ökosystem, das sie manipuliert, und die Manipulation selbst wird einfach Teil des Geschäftsbetriebs
    • Letztlich läuft alles darauf hinaus, mehr Geld zu verdienen
    • Am Ende ist es eine Frage, ob ein Unternehmen wertlose Metriken kaufen will oder nicht. Wir haben zuletzt versucht, Bot-Aktivität in Repositories für AI-Bots schwieriger zu machen, und hoffen, dass die Bots stattdessen zu Startups abwandern, die sich nur relativ leichte Ziele suchen, wie in diesem Text
  • Ich betreibe eine kleine Website, habe dort einen bisher informellen Standard etwas klarer definiert und auf der Homepage eine Liste von Software und Bibliotheken veröffentlicht, die diesem Standard folgen. Anfangs habe ich fast alles akzeptiert, aber als die Liste länger wurde, merkte ich, dass ich ein Notability-Kriterium brauche. Als ich eine Bibliothek ablehnte, die erst wenige Tage alt war, mit hoher Wahrscheinlichkeit AI-generiert und qualitativ schwach war, erwähnte ich auch als Bedenken, dass sie „0 stars“ habe, worauf der Autor aggressiv fragte, wie viele denn nötig seien. Ich habe nicht geantwortet. stars sind nur ein Faktor unter mehreren, nicht alles. Entscheidend sind echte Nutzer und echte Bekanntheit. Später mischten sich andere Entwickler in die Diskussion ein und meinten, ich solle statt vager Kriterien einfach einen star-Cutoff festlegen, aber genau das tue ich absichtlich nicht. In dem Moment, in dem eine Zahl zum Ziel wird, taugt sie nicht mehr als Metrik. Ich will die Seite auch nicht endlos wachsen lassen, und wenn ich einfach alles ab X stars aufnehme, könnte am Ende auch Malware draufstehen. Vor allem aber entscheide ich selbst, wen ich auf meiner Seite aufführe, und ich hätte gern, dass man dabei nicht unhöflich wird
  • Wenn man sieht, wie VCs GitHub-Popularität wie einen Beleg für traction behandeln, hat man wieder das Gefühl, dass großes Kapital alles kaputtmacht. Auch hier greift Goodhart's law direkt. Wenn ich die Qualität eines Repositories schnell einschätzen will, schaue ich auf Wartungszustand, Projektalter, Eleganz der API und die Commit-Historie. Wie im Artikel gesagt, liegen Metriken wie monatliche Aktivität eindeutiger Mitwirkender, Paket-Downloads, die Qualität von Issues, die nach echten Nutzern aussehen, die Bindung bis zum zweiten PR, die Tiefe von Community-Diskussionen und Nutzungs-Telemetrie viel näher an realer Nutzung
    • Ich lese am Ende einfach den Code. Das ist für mich am direktesten
  • Viele Menschen erwarten von stars offenbar, dass sie ein billiger und schneller Ersatzindikator für „vertrauenswürdige, qualitativ gute und viel beachtete Software“ sind. Aber meiner Meinung nach scheitern sie als proxy komplett. Selbst ohne astroturfing garantieren stars weder Popularität noch Qualität. Es gibt vermutlich viele grundlegende Systembibliotheken mit wenigen stars. Wenn man den Code selbst lesen kann, wirkt es sinnlos, sich auf stars zu verlassen. Deshalb überspringe ich stars und gewöhne mir an, Repositories zu überfliegen und Architektur sowie Implementierung direkt zu beurteilen; dabei hatte ich schon öfter den Eindruck, dass Alternativen mit weniger stars besser sind
    • Wenn es drei Alternativen mit jeweils 100.000 LOC gibt, ist der Rat „Lies den Code“ praktisch nicht so einfach umzusetzen. Irgendeine Ersatzmetrik braucht man dann doch. stars sind dafür schlecht, weil sie unzuverlässig sind, aber Empfehlungen oder referrals sind besser. In Bereichen, in denen mein Netzwerk kein Wissen hat, greife ich in der Praxis trotzdem manchmal auf schwache Proxys wie stars zurück
    • Früher war die Issue-Seite ziemlich gut, um Spuren realer Nutzung zu sehen, weil man erkennen konnte, welche Probleme Menschen tatsächlich hatten. Manchmal funktioniert das noch, aber inzwischen gibt es so viel Agent-Müll, dass es nicht mehr so gut ist wie früher
  • Ich frage mich, ob GitHub statt roher stars nicht einen graphbasierten Score ähnlich PageRank verwenden könnte. Dabei würden Repositories höher bewertet, wenn Nutzer, die selbst wichtige Repositories betreiben, sie starren oder forken. Die Berechnung wäre teurer, aber sofern ich nichts übersehe, wären die Ergebnisse deutlich vertrauenswürdiger als heute
    • Dieser Ansatz wirkt näher an einem besseren Ergebnis. Wenn aber alle Nutzer als Knoten eingehen, bleibt er meiner Meinung nach immer noch manipulierbar. Besser wäre vielleicht eine eingeschränkte Menge wie trusted peers oder Freunde von Freunden, oder man nutzt statt bloßer Likes eher nachgelagerte Signale
  • Was mich wirklich interessiert, ist, warum VCs das star-System überhaupt für glaubwürdig halten. Nutzer, die auf stars klicken, vergessen das Projekt oft kurz danach wieder, sodass auch veraltete und ungewartete Projekte einfach viele stars haben können. Selbst wenn es nicht perfekt ist, erscheint es mir sinnvoller, darauf zu schauen, wie lebendig die Issues sind, ob sie geöffnet und geschlossen werden, ob sie nicht nur automatisch geschlossen werden und wie schnell reagiert wird. Mein Projekt hat 200 stars, aber es ist wirklich schwer, über bloße Versionsanhebungen hinaus kontinuierlich sinnvolle Updates zu liefern
    • stars sind ein typisches Beispiel für eine Metrik, die zum Ziel geworden ist und deshalb keine gute Messgröße mehr darstellt. Und auch andere Metriken wie Issue-Aktivität lassen sich im Zeitalter der LLMs leicht manipulieren, indem man sie einfach öffnet, schließt und beantwortet
    • Die Erzählung, VCs würden Tausende stars verlangen, ist vielleicht ein zu großes Narrativ. In der Praxis ist es wahrscheinlich häufiger, dass jemand 20 Dollar bezahlt, damit das eigene Projekt überzeugender aussieht und sich im Lebenslauf oder aus vanity-Gründen besser macht, mehr Reddit-Klicks bekommt oder unter anderer Open-Source-Software stärker auffällt. Wenn wirklich jemand nur wegen 8.000 oder 10.000 stars investiert, ohne auf Projekt oder Umsatzpotenzial zu schauen, dann ist das entweder ein wirklich ahnungsloser Investor oder jemand, der jeden Sommer einfach ein Studentenprojekt auswählt. Fake-Accounts verteilen auch auf meinen alten Repositories stars, um wie echte Nutzer zu wirken; wenn ein Account pro Monat 5.000 Projekte starrt und sonst nichts tut, fällt das schnell auf. Früher habe ich auch GitHub-Sponsor-Ringe gesehen, die stark nach Geldwäsche oder gestohlenen Karten rochen
    • Was ich suche, sind langfristige Signale für Softwarequalität, während VCs nach kurzfristigen Momentum-Signalen für starken Anstieg suchen. Beides steht oft im Widerspruch zueinander
    • Auch hier könnte ein pagerankartiger Graph-Score bis zu einem gewissen Grad funktionieren. Wenn ein Repository viele Issues von Nutzern mit guter Reputation hat, wäre es etwas robuster gegen simple Manipulation
    • Falls sich in den letzten drei Jahren nicht grundlegend etwas verändert hat, halte ich den Artikel für etwas übertrieben, was das Vertrauen von VCs in stars angeht. Als ich vor zehn Jahren mit VCs gesprochen habe, hatten die meisten stars bereits als Vanity-Metrik abgeschrieben
  • Ich denke, GitHub könnte dieses Problem sehr leicht bekämpfen. Man müsste bei jedem star-Verkäufer einfach für 10 Dollar selbst kaufen und dann alle beteiligten Accounts sperren. Mit sehr wenig Geld ließe sich in diesem ganzen Ökosystem erhebliche Reibung erzeugen
  • Als weiterführendes Material sind der Dagster-Beitrag von 2023 „Tracking the Fake GitHub Star Black Market with Dagster, dbt and BigQuery“ und das arXiv-Paper „Six Million (Suspected) Fake Stars in GitHub: A Growing Spiral of Popularity Contests, Spams, and Malware“ lesenswert