梦晨 克雷西 发自 凹非寺
量子位 | 公众号 QbitAI
在黑市买GitHub星星多少钱?
最贵的高达6元一颗。
有创业者Yassin Eldeeeb自掏腰包测试了一把。他足足花20欧元(约156人民币),只买到25颗“高级星星”。
没错,在黑市上刷GitHub星星也是分高低贵贱的。
高级的都是注册一年以上的账号来刷,昵称头像工作地点等个人资料非常自然绝不重样。
甚至至少还有一个对其他开源项目的贡献记录等,不但算法检测不出来,肉眼看也没毛病。
便宜的最低可做到0.4-0.88元一颗星星,这种就是最简单的新注册空号去刷了,默认头像,随机生成昵称的那种。
买了一个月以后发现都已经被平台封号处理,买到的星星也跟着消失了。
不过这种廉价服务最疯狂的地方在:失效了可以联系卖方,免费包重刷。
具体有多少人购买这种服务无从得知,不过Eldeeeb注意到他的账单编号是#57189,说明成交量绝对不在少数。
像这样的“黑市”刷星服务,最近被频频曝光,也在开发者社区成了话题热榜的常客。
大家的讨论中,有一个最奇葩的开源项目,被检测出有97%的星都是假的。
检测出这个奇葩项目的是另一位创业者Fraser Marlow,他偶然发现了GitHub黑市的存在。
同时他也注意到投资人越来越重视GitHub标星数,当作评估开源产品的指标了。
不过作为数据管道服务公司Dagster的增长主管,他不但没有给自己产品刷星——
反而与识别垃圾邮件的专家合作,收集数据并开发了一个假星检测器。
具体分为两种算法,简单算法只能检测出那些“一眼假”的。
比如大批账号都给相同的两个项目标星,没有贡献记录,除了头像和用户名不同其他一毛一样那种。
但对于开头提到的那种6元一星的高级账号,简单算法就无能为力了。
为此,Dagster还设计了一种更复杂的监督聚类算法。
原理也很简单,一批假账号会具有相似的特征,在可视化中可以聚集在一起。
而正常用户的特征应该相当独特,在统计上非常分散,不应该属于任何大的群体。
举个栗子来说,正常的GitHub账号不是每天都有活动记录,如果一群账号活跃的日期都重合,就表明它们很有可能是受同一个脚本控制的。
为验证算法可靠性,他们创建了一个靶子仓库,并真的去购买了刷星服务。
聚类算法在测试中表现非常好,接近100%的匹配率。
在更复杂的真实数据上,也达到了98%的精确度和85%的召回率。
接下来,团队在Github Archive公开数据集上综合使用两种算法测试。
一测不得了,造假最严重的okcash总标星759,简单算法只发现一个疑似假星,结合聚类算法直接蹦到97%,
由于计算成本较高,测试中只分析了2022年1月1日及之后获得的星星。
也就是说,还有很多2022年之前刷星的项目没有被揪出来。
与之相比,他们检测了自己的产品Dagster和几个同行,刷星率都比较低,看来数据管道这个行业还是比较健康的。
在这之后,他们与GitHub团队分享了这些发现,并把检测器也开源了。
曝光48小时之内,GitHub和刷星供应商都行动起来,他们测试用的“靶子仓库”中的假星都消失了。
据GitHub方面回应,其实多年以来一直都在积极打击刷星行为,但仍旧频发,根本管不住。
之前就有学术研究,通过数据分析找出63872个可疑账号,但其中只有不到5%被GitHub平台自己检测出并封号。
研究推测,刷星行业早在2018-2019年就获得了341万-437万美元的利润。
那么为什么会有人花大价钱买GitHub标星,真的能带来实际收益么?
开源项目团队选择“刷星”的一个重要目的,就是吸引投资者的目光。
一家风险投资公司的合伙人Pratima Aiyagari 表示,做开源项目极大可能很久都赚不到钱。
既然收入情况没法拿来参考,那就要多看一看产品本身的状况了。
考察开源项目最准确的方式是查看代码,但这种方法复杂繁琐且专业性强,并没有成为投资者的首选方式。
于是投资者找出了替代方法——看星标——实际上,他们天生就会寻找快速增长的新账号。
除了绝对数量,风投公司Runa还专门设计了一种名为ROSS指数的指标,依据星标数年增长率对团队进行排名。
Runa的一名合伙人Konstantin Vinogradov说,ROSS指标已经成为了开源项目遵循的重要标准,排名靠前的开源项目中有三分之一都获得了融资。
不过伴随着“刷星”现象的出现,投资者对星标数的看法也开始弱化。
投资人Kevin Zhang说,星标数可能可以成为一块“敲门砖”,但不意味着投资者会因为星标数和项目团队“第二次见面”。
这也印证了学术界的看法——加州大学圣地亚哥分校助理教授Stuart Geiger表示,随着时间的推移,指标(星标数)可能会自行失效。
这就涉及到了两条社会科学定律——坎贝尔定律和古德哈特定律。
坎贝尔定律说,决策当中使用的一项指标越受重视,就越容易被操纵。
好比网络购物,实物我们看不见摸不着,自然就会参考其他买家的评价,于是“刷单”现象也就应运而生了。
古德哈特定律则认为,如果一项指标被人们刻意追逐,那就不(或不再)是一个好的指标。
但在没有更好的替代指标的情况下,就必须确保数据的真实度了,就好像在考试中要不遗余力地打击作弊一样。
不过,除了想吸引投资者的团队之外,还有许多个人开发者也会“刷星”。
目的和创业团队有异曲同工之处,只不过吸引的不是投资者而是HR,希望高星项目能在求职中为他们带来优势。
事实上,也的确有企业将GitHub信息作为评价求职者的指标,甚至有人凭借套壳项目就斩获了Google的offer。
除了选人,在技术选型时也是同样的道理——很多人(尤其非专业人士)会倾向于使用高星项目。
除了GitHub,还有综合型产品发布平台Product hunt,数据类产品平台kaggle,以及IT问答平台StackOverFlow等媒介也越来越多的受到投资人的关注。
不过如果不能建立有效的“防刷单”策略,可能最终也难逃换汤不换药的命运。
对于这种现象,有人总结是“Fake it till they make it.”——
如同“先上车后补票”一样,先假装自己已经成功,直到真的成功为止。
AI,特别是大模型的发展,让检测虚假账户越来越难了。
以前的造假可能只是刷刷星标和点赞,判断用户真伪的方式主要是看账户本身的特征。
但自从有了ChatGPT以后,还可以刷以假乱真而且不重样的评论。
如果一个账户命中了虚假账号的特征,但发布的回复却和真人毫无二致,该如何判断它的真伪?
参考链接:
[1]https://www.wired.com/story/github-stars-black-market-coders-cheat/
[2]https://news.ycombinator.com/item?id=37990338
[3]https://dagster.io/blog/fake-stars
[4]https://dl.acm.org/doi/10.1145/3427228.3427258
— 完 —
量子位 QbitAI · 头条号签约
关注我们,第一时间获知前沿科技动态