Kertas Kajian ICSE 2026 yang Mengejutkan: "6 Juta Bintang Palsu"

Dalam Research Track di ICSE (The International Conference on Software Engineering) yang diadakan di Brazil pada April 2026, salah satu pembentangan yang paling menarik perhatian ialah kertas kajian bertajuk "Six Million (Suspected) Fake Stars on GitHub: A Growing Spiral of Popularity Contests, Spams, and Malware" dengan penulis utama Hao He, seorang pelajar Ph.D. dari CMU. Penyelidik bersama termasuk Profesor Madya Bogdan Vasilescu dan Profesor Madya Christian Kästner dari CMU, Alexandros Kapravelos dari North Carolina State University, serta saintis data syarikat Socket, Philipp Burckhardt.

Pasukan penyelidik menganalisis 20 terabait metadata GitHub daripada GHArchive, meliputi sejumlah 6.7 bilion peristiwa dan 326 juta bintang, lalu membangunkan alat pengesanan tersendiri bernama "StarScout". StarScout melakukan pengesanan anomali dengan menggabungkan dua isyarat: "akaun yang sangat tidak aktif yang hanya memberi bintang kepada satu repositori sahaja" dan "kluster 50 atau lebih akaun yang memberi bintang kepada kumpulan repositori yang sama secara serentak dalam tempoh singkat (Corak Lockstep)". Hasilnya, kira-kira 6 juta bintang merentasi 18,617 repositori disyaki kuat sebagai palsu, dengan bilangan akaun yang terlibat mencapai kira-kira 301,000.

Sebagai sokongan terhadap kredibiliti kajian ini, 90.42% repositori yang dikenal pasti sebagai penipuan oleh StarScout telah pun dipadamkan oleh GitHub setakat Januari 2025, manakala 57.07% akaun turut dibekukan. Memandangkan kadar pemadaman repositori biasa hanya sekitar 5.03% dan kadar pemadaman akaun sekitar 3.54%, kadar keselarian ini adalah sangat tinggi. Profesor Madya Vasilescu dalam pengumuman rasmi CMU menyatakan, "Kaitan antara penipuan dan bintang palsu sudah lama diketahui, tetapi apa yang mengejutkan kami ialah '*jumlah*'nya," dan menambah bahawa "ekosistem GitHub secara keseluruhannya berfungsi seperti 'ekonomi perhatian' yang serupa dengan media sosial."

Yang amat ketara ialah kempen bintang palsu yang hampir sifar sehingga awal 2022 telah berkembang 100 kali ganda pada Julai 2024. Dalam bulan tersebut sahaja, dianggarkan 16.66% daripada repositori yang mempunyai lebih 50 bintang berkemungkinan besar terlibat dalam kempen bintang palsu.

"Bintang GitHub" yang Dijual Secara Terbuka — Gambaran Penuh Pasaran yang Benar-benar Wujud

Apabila mendengar istilah "bintang palsu", ramai pembaca mungkin membayangkan pasaran gelap yang beroperasi secara senyap di sebalik tabir. Namun hakikatnya adalah sebaliknya — beberapa pengendali perniagaan yang menawarkan bintang GitHub sebagai "produk" secara terang-terangan, lengkap dengan laman e-dagang yang sah, sokongan pelanggan 24 jam, dan pengeluaran invois yang mematuhi peraturan kawasan EU. Berikut adalah senarai vendor utama yang kerap disebut dalam kalangan pengasas dan pelabur modal teroka (VC) di Silicon Valley. Masalah bintang palsu bukan sekadar desas-desus, malah ia telah pun berakar umbi sebagai aktiviti ekonomi yang nyata.

Baddhi Shop (berpangkalan di Bangalore, India)

Baddhi Shop yang pakar dalam pertumbuhan media sosial menjual bintang GitHub sebagai item menu biasa, setaraf dengan pengikut Instagram, jumlah tontonan YouTube, dan suka TikTok. Harganya amat berpatutan iaitu 1,000 bintang pada harga USD 64 (lebih kurang RM 300), menjadikannya salah satu vendor yang paling kerap disebut dalam kalangan pengasas OSS dan perunding pertumbuhan. Dalam kajian lapangan yang dilakukan oleh Fraser Marlow dari Dagster menggunakan repositori dummy miliknya sendiri (frasermarlow/tap-bls), dilaporkan bahawa kira-kira 75% bintang yang dibeli melalui Baddhi Shop telah dipadamkan oleh GitHub dalam masa satu bulan, namun ia cukup berkuasa untuk merangsang algoritma Trending dalam tempoh jangka pendek yang padat.

GitHub24 (berpangkalan di Munich, Jerman)

GitHub24 adalah pengendali sah asal Eropah yang dikendalikan oleh Moller und Ringauf GbR, sebuah entiti korporat yang berdaftar secara komersial di Munich. Harganya adalah €0.85 (lebih kurang RM 4.20) setiap bintang, kira-kira 13 kali lebih mahal daripada Baddhi Shop, namun dalam eksperimen Dagster, hampir semua bintang yang dibeli kekal selama beberapa bulan, sekali gus mengukuhkan kedudukannya sebagai "bintang berkualiti tinggi dan kekal". Maklumat pendaftaran korporat, akaun bank, dan pengeluaran invois yang mematuhi peraturan EU semuanya telus, dan kemudahan untuk membeli sebagai 'kos pemasaran' yang boleh dituntut sebagai perbelanjaan menjadi faktor yang sangat memudahkan keputusan dari perspektif psikologi bagi pegawai kewangan syarikat permulaan.

Kumpulan Vendor Amerika Syarikat yang Terkenal di Kalangan Komuniti Silicon Valley

Dalam karya "The GitHub Black Market" oleh Yehuda Gelb dari Checkmarx, vendor jualan asal Amerika Syarikat yang disenaraikan termasuk SocialPlug.io (menawarkan pembayaran pelbagai mata wang dan sokongan 24 jam, berdaftar di Nevada), Buy.fans (model jualan silang merangkumi Twitter/Instagram/GitHub), GitHubPromoter.com (veteran yang pakar khusus dalam GitHub), Boost-Like.store (pesanan minimum 5 bintang), Followdeh.com, Vurike.com, dan lebih sedozen syarikat lain. Persamaan antara semua vendor ini ialah barisan produk yang secara jelas menyebut konteks Silicon Valley, seperti "Silicon Valley Developer Credibility Package" dan "Seed-Stage Founder Boost". Laman jualan mereka secara eksplisit menyenaraikan senario khusus seperti "sebelum Demo Day YC (Y Combinator)" atau "sebelum pusingan pembiayaan Siri A" sebagai sasaran pelanggan, dengan ucapan jualan yang terang-terangan mensasarkan saluran penyumberan dan saluran paip VC.

Saluran Pengedaran melalui Fiverr dan Telegram

Di Fiverr, pasaran pekerja bebas Amerika, carian menggunakan kata kunci seperti "GitHub Star Boost", "GitHub Fork Service", atau "GitHub Trending Service" akan memaparkan ratusan gig (perkhidmatan sekali gus) dengan harga bermula dari USD 5 setiap pesanan. Selain itu, Telegram turut memiliki saluran khusus yang beroperasi secara berterusan dalam bahasa Inggeris, Rusia, dan Cina, di mana kumpulan jualan yang menerima mata wang kripto, rubel, dan yuan renminbi telah dikenal pasti. Laporan pemantauan berterusan oleh The Hacker News dan BleepingComputer mendedahkan gambaran pasaran global yang beroperasi dengan pembahagian kawasan mengikut rantau.

Segmen Teratas: Pasaran "Akaun Matang" Bernilai Sehingga RM 23,000 Setiap Akaun

Produk paling mahal ialah "persona GitHub siap pakai" yang diperdagangkan pada harga sekitar USD 5,000 (lebih kurang RM 23,000) setiap akaun. Ini merujuk kepada akaun yang dibuat lebih dua tahun lalu, telah "dibesarkan" dengan sejarah komit yang berterusan, pengikut, dan rekod fork, hingga ke tahap yang tidak dapat dibezakan daripada pembangun berpengalaman yang sebenar. Menurut laporan DEV Community, akaun sedemikian digunakan untuk pelbagai tujuan tanpa mengira jenis — termasuk pemalsuan rekod kerjaya usahawan OSS, pemalsuan profil semasa memohon pekerjaan, pengesahan repositori perisian hasad, malah pemalsuan "senarai penyelenggara teras" untuk disertakan dalam slaid pitch kepada VC. Hakikat bahawa harga RM 23,000 setiap akaun ini wujud sebagai pasaran yang stabil merupakan bukti terbaik bahawa ekosistem palsu ini mempunyai rasional ekonomi yang kukuh dan permintaan yang berterusan.

Dengan cara ini, "bintang palsu" bukan lagi produk terpencil yang diperdagangkan secara gelap oleh segelintir penggodam, malah ia telah bertukar menjadi perkhidmatan sah yang dijual oleh pengendali perniagaan profesional melalui laman produk awam dengan pembayaran kad kredit. Perkara yang mengejutkan bagi VC Silicon Valley dan pengasas OSS ialah hakikat bahawa pesaing atau calon syarikat pelaburan mereka boleh membeli semua ini dari web awam yang sama yang mereka gunakan, hanya dengan satu pembayaran kad kredit. Bahagian-bahagian seterusnya akan meneliti penipuan pelaburan dan insiden perisian hasad yang timbul akibat penggunaan vendor-vendor ini, serta langkah-langkah pertahanan khusus yang mula diambil oleh VC Tier 1.

Kebimbangan "Gelembung Reputasi" yang Dirasai oleh VC Silicon Valley

VC Tier 1 mula melihat isu ini bukan sekadar penipuan teknikal, tetapi sebagai "risiko yang menggugat asas Due Diligence (penelitian pelaburan)." Panduan penggalangan dana berasaskan data yang pernah diterbitkan oleh Jordan Segall, rakan kongsi di Redpoint Ventures, bertajuk "So How Many Stars Is Enough?" telah banyak dijadikan penanda aras industri kerana ia mengemukakan angka konkrit hasil analisis terhadap lebih 80 syarikat alatan pembangun — nilai median bintang semasa pengumpulan dana benih ialah 2,850 bintang, manakala pada peringkat Siri A pula ialah 4,980 bintang. Dalam artikel yang sama, Segall menyatakan secara terus terang bahawa "ramai VC menulis program pengikisan data mereka sendiri untuk mengenal pasti projek GitHub yang berkembang pesat, dan metrik yang paling banyak dirujuk dalam proses itu ialah bilangan bintang" — yang memperkukuh hakikat bahawa jumlah bintang berkait rapat dengan saluran penyumberan VC.

Namun, apabila "2,850 bintang bersamaan tahap benih" menjadi pengetahuan umum, insentif songsang pun timbul. Perkhidmatan yang kelihatan sah seperti GitHub24 (dikendalikan oleh entiti berdaftar di Munich, Jerman, iaitu Moller und Ringauf GbR) menawarkan harga €0.85 (lebih kurang ¥138) setiap bintang. Ini bermakna kos untuk memalsukan 2,850 bintang hanyalah sekitar €2,422 (lebih kurang ¥395,000), dan bahkan 4,980 bintang — nilai median Siri A — pun hanya berharga €4,233 (lebih kurang ¥689,000). Jika dibandingkan dengan nilai median pengumpulan dana benih pada tempoh yang sama iaitu antara satu juta hingga sepuluh juta dolar (lebih kurang ¥150 juta hingga ¥1.5 bilion), nisbah ROI mencapai 3,500 kali ganda hingga maksimum 117,000 kali ganda — satu nisbah yang luar biasa tinggi. Media SaaS Silicon Valley, SaaStr, dan surat berita pelabur dari The Information, sama-sama menyiarkan "asimetri pulangan pelaburan" ini dan membunyikan loceng amaran bahawa "bintang GitHub tidak lagi boleh dianggap sebagai penunjuk keputusan yang bebas."

Laporan khas yang diterbitkan dalam Majalah Awesome Agents pada April 2026 bertajuk "Inside GitHub's Fake Star Economy" mendedahkan bahawa beberapa rakan kongsi usaha niaga di Silicon Valley, atas dasar tanpa nama, mengakui bahawa "sekurang-kurangnya beberapa keputusan pelaburan dalam tempoh dua tahun lalu mungkin akan dipertimbangkan semula seandainya sejarah bintang disemak kemudian" — mencadangkan bahawa mekanisme pembersihan diri kini mula hilang fungsinya walaupun dalam kalangan VC Tier 1.

Kes "Penipuan Pelaburan" yang Memperdaya VC (Venture Capital)

Penipuan pelaburan menggunakan bintang palsu GitHub telah pun muncul pada peringkat kes undang-undang yang konkrit. Manish Lachwani, bekas CEO syarikat permulaan automasi ujian HeadSpin, telah didakwa atas kesalahan penipuan wayar (*Wire Fraud*) dan penipuan sekuriti kerana menggembungkan hasil jualan sehingga kira-kira empat kali ganda daripada rekod sebenar, serta mengemukakan syarikat Apple dan American Express sebagai pelanggan palsu kepada pelabur. Beliau didapati bersalah menipu pembiayaan bernilai kira-kira 80 juta dolar AS (lebih kurang 12 bilion yen), dan pada April 2024 telah dijatuhkan hukuman penjara 18 bulan serta denda 1 juta dolar AS (lebih kurang 150 juta yen). Pakar undang-undang meletakkan keputusan ini sebagai preseden penting yang membuktikan bahawa "pengembungan metrik lembut boleh menjadi subjek hukuman jenayah", dan pandangan bahawa "jika pelabur menanam modal berdasarkan bilangan bintang, pembelian bintang palsu boleh termasuk dalam rangka kerja penipuan wayar" semakin meluas.

Selain itu, dalam "ROSS Index" (Runa Open Source Startups Index) yang diterbitkan oleh firma modal teroka Runa Capital, Union Labs (sebuah syarikat permulaan berkaitan blok rantai) merekodkan kadar pertumbuhan bintang 54.2 kali ganda bagi suku tahun tersebut dengan jumlah 74,300 bintang, dan menduduki tempat pertama dengan begitu yakin dalam kedudukan suku tahun kedua 2025. Namun, apabila StarScout menganalisisnya kemudian, didapati 47.4% daripada bintang Union Labs disyaki sebagai bintang palsu, dengan 32.7% daripada akaun pemberi bintang adalah akaun "tanpa sebarang repositori", dan 52% adalah akaun "tanpa pengikut". Nisbah Fork berbanding Bintang ialah 0.052, jauh lebih rendah daripada purata projek sihat iaitu 0.16 — satu nilai anomali yang ketara — menunjukkan kemungkinan bahawa kedudukan itu sendiri yang memacu kitaran pelaburan telah tercemar. ROSS Index dirujuk oleh VC di seluruh dunia sebagai "alat penemuan syarikat permulaan OSS baharu", dan impak daripada tergoyahnya kepercayaan terhadapnya adalah tidak ternilai.

Suruhanjaya Perdagangan Persekutuan Amerika Syarikat (FTC) telah memfinalkan "Peraturan Ulasan Pengguna (*Consumer Review Rule*)" pada Oktober 2024, yang secara eksplisit melarang tindakan memalsukan pengaruh media sosial untuk tujuan komersial. Pelanggaran boleh dikenakan sanksi sivil sehingga 53,088 dolar AS (lebih kurang 8 juta yen) bagi setiap kes, oleh itu sekiranya bintang palsu digunakan dalam proses pembiayaan ekuiti, risiko tindakan daripada FTC — selain daripada SEC — turut akan timbul.

Penyembunyian "Bot Farm" yang Diperhalusi

Bot farm sebelum tahun 2024 kebanyakannya bersifat "mencurigakan secara nyata", seperti akaun yang baru dibuat terus memberi bintang secara serentak dengan profil yang masih kosong. Namun, bot farm sejak tahun 2025 semakin sukar dibezakan daripada manusia kerana memanfaatkan akaun yang telah melalui proses "pematangan (aging)" dalam tempoh yang panjang.

Menurut analisis yang diterbitkan oleh StartupHub.ai pada April 2026, penglibatan palsu generasi semasa telah berkembang ke tahap mampu "menjana ulasan teknikal berbilang perenggan secara automatik, membuka isu (issue) lengkap dengan langkah-langkah untuk menghasilkan semula masalah, serta menghantar Pull Request yang mengandungi perubahan kod yang bermakna." Selain itu, turut direka "konteks sosial" menyeluruh merangkumi gambar profil yang dijana AI, sejarah komit palsu yang berterusan selama berbulan-bulan, repositori yang di-fork, teks bio, serta pengikut. Harga pasaran "akaun berusia (aged account)" ini didagangkan pada kadar $0.80–$0.90 (lebih kurang 120–135 yen) setiap bintang, iaitu lebih daripada 10 kali ganda berbanding akaun sekali-guna.

Fraser Marlow, bekas Ketua Pegawai Eksekutif Dagster, secara terus terang mengakui dalam blog kejuruteraan syarikatnya bahawa "sebelum pusingan pembiayaan, saya menghabiskan banyak masa memikirkan 'GitHub Stars'." Bagi tujuan pengesahan, beliau sendiri menubuhkan repositori dummy (frasermarlow/tap-bls) dan benar-benar membeli bintang daripada beberapa vendor, termasuk Baddhi Shop (1,000 bintang pada harga $64: lebih kurang 9,600 yen) dan GitHub24, untuk mengkaji tingkah lakunya. Hasilnya menunjukkan "perbezaan kualiti setimpal dengan harga" — dalam kes Baddhi Shop, 75% bintang telah dipadamkan dalam masa kurang daripada sebulan, manakala bintang daripada GitHub24 hampir kesemuanya kekal.

Penggodaman Algoritma Tab "GitHub Trending"

Tab "Trending" yang dipaparkan dalam tab Explore GitHub merupakan pintu masuk penting bagi pengguna baharu untuk menemui projek. Sebanyak 78 repositori yang dikesan melakukan kempen bintang palsu telah muncul dalam GitHub Trending, membuktikan bahawa algoritma tersebut telah berjaya dimanipulasi. Sebagai contoh, apabila sebuah repositori melonjak daripada 10 bintang kepada 500 bintang dalam masa seminggu, algoritma Trending akan menganggapnya sebagai "sedang naik mendadak" dan memperkuatnya di halaman utama, di mana ia akan dilihat oleh pembangun sebenar — seterusnya menjana "bintang tulen" secara berantai, lalu mewujudkan apa yang dikenali sebagai kesan bootstrap.

Media keselamatan BleepingComputer menggambarkan mekanisme ini sebagai "saluran pengedaran yang amat berkesan bagi repositori perisian hasad, kerana ia membolehkan pencapaian kedudukan teratas yang dipercayai oleh pelabur dan pembangun dalam masa yang singkat." Selain itu, Yehuda Gelb dari Checkmarx mendedahkan dalam tulisannya "The GitHub Black Market: Gaming the Star Ranking Game" bahawa sekurang-kurangnya belasan pengendali perniagaan, termasuk SocialPlug.io, Buy.fans, Boost-Like.store, GitHubPromoter.com, Followdeh.com, dan Vurike.com, secara terang-terangan menawarkan perkhidmatan penjualan bintang, dengan urus niaga turut berlaku secara berleluasa di Fiverr dan pelbagai saluran Telegram.

Serangan "Bot Negatif" ke atas Syarikat Pesaing

Walaupun GitHub tidak mempunyai butang "penilaian negatif" seperti media sosial, serangan bot yang bertujuan menghasilkan kesan yang setara telah pun muncul. Secara konkrit, kaedah yang digunakan termasuk menghantar sejumlah besar laporan "Report spam/abuse" kepada repositori syarikat pesaing bagi mencetuskan penggantungan automatik oleh pasukan GitHub Trust & Safety, atau dengan sengaja menghantar sejumlah besar Issue yang tidak bermakna dan PR berkualiti rendah untuk merampas masa penjaga projek.

Insiden "hackerbot-claw" yang dilaporkan oleh StepSecurity pada Mac 2026 menunjukkan fasa baharu ini. Antara 21 Februari hingga 2 Mac 2026, bot berkuasa AI yang mendakwa dirinya sebagai "autonomous security research agent" (dan mendakwa menggunakan Claude-Opus-4.5 secara dalaman) telah menyasarkan saluran paip CI/CD sekurang-kurangnya 7 projek sumber terbuka utama termasuk Microsoft, DataDog, dan CNCF, dengan menggilir secara automatik 5 kaedah serangan sambil berulang kali melaksanakan kod dari jauh. Pada satu repositori terkenal, bot tersebut berjaya merampas token GitHub dengan kebenaran tulis, dan insiden ini dianggap sebagai pelopor "serangan AI autonomi yang bertujuan menghapuskan pesaing atau mencari keuntungan kewangan", bukan sekadar vandalisme semata-mata.

Seterusnya pada April 2026, kempen yang dikenali sebagai "prt-scan" telah dikenal pasti, di mana penyerang menghantar 475 PR berniat jahat kepada organisasi terkemuka dan pembangun individu dalam tempoh 26 jam. Ini adalah serangan gangguan tipikal di mana perhatian dialihkan kepada vektor serangan lain sementara penjaga penerima sibuk melakukan semakan. Sebagai tindak balas, Ketua Tanggungjawab Trust & Safety GitHub telah mengumumkan ujian perintis had kadar PR dan penyaringan pintu gerbang AI dalam suku kedua 2026.

Kes Serangan Rantaian Bekalan (Penyebaran Perisian Hasad)

Bahaya terbesar bintang palsu ialah "penyebaran perisian hasad melalui repositori yang memalsukan kredibiliti." Dalam kajian CMU, kebanyakan repositori yang menerima bintang palsu adalah repositori perisian hasad jenis pancingan data yang berkedok "perisian cetak rompak," "cheat permainan," dan "bot aset kripto" yang berusia pendek. Analisis oleh Socket turut mendapati bahawa 28 daripada repositori yang dikelaskan sebagai perisian hasad oleh VirusTotal masih wujud di GitHub pada masa pengumuman. Sebagai contoh utama, Solmonster/PhantomSniper-Solana-Sniper-Bot yang dinamakan oleh penyelidik Socket, direka untuk menyamar sebagai "bot sniper" untuk Solana, namun sebenarnya melancarkan skrip jauh yang dikaburkan melalui panggilan spawn() tersembunyi untuk mencuri dana daripada dompet aset kripto pengguna. Pada masa dikesan, ia memiliki 109 bintang palsu dan ramai mangsa telah menulis amaran dalam thread Isu.

Sebagai insiden yang lebih besar, terdapat kompromi rantaian bekalan tj-actions/changed-files (CVE-2025-30066) yang berlaku pada Mac 2025. GitHub Action ini digunakan oleh lebih 23,000 repositori, di mana penyerang merampas PAT @tj-actions-bot kemudian menulis semula semua tag versi kepada komit berniat jahat, menyebabkan maklumat sensitif seperti kunci akses AWS, GitHub PAT, token npm, dan kunci peribadi RSA bocor ke dalam log aliran kerja melalui pembuangan memori pelari CI. Vendor keselamatan utama termasuk CISA (Agensi Keselamatan Siber dan Infrastruktur Amerika Syarikat), Wiz, Unit 42, Semgrep, dan Cycode mengeluarkan amaran berturut-turut, dan kesannya turut menjalar kepada reviewdog/action-setup@v1 (CVE-2025-30154) yang turut diusik pada tempoh yang sama.

Kemudian pada November 2025, kempen "Shai-Hulud 2.0" yang menyasarkan ekosistem npm berlaku. Unit 42, Microsoft Security, Wiz, CheckPoint, Arctic Wolf, dan Zscaler menerbitkan laporan terperinci secara berturutan, namun skala kerosakan meliputi lebih 25,000 repositori GitHub dan ratusan pakej npm termasuk Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase, dan Postman. Penyerang melaksanakan setup_bun.js dan bun_environment.js semasa fasa preinstall untuk mencuri token npm, token GitHub, kunci SSH, kelayakan awan, dan rahsia CI/CD mangsa, kemudian menjana repositori awam bernama "Shai-Hulud" di bawah akaun yang terjejas dan melakukan komit maklumat yang bocor ke sana — menunjukkan tingkah laku replikasi kendiri.

Dalam serangan canggih sebegini, bintang palsu berfungsi sebagai "pintu masuk pertama." Dengan mencemari saluran penemuan alat, kebarangkalian berlakunya kemudaratan diperbesarkan dengan ketara. Dalam kempen PyStoreRAT yang dilaporkan oleh The Hacker News pada Disember 2025, repositori yang menyamar sebagai alat OSINT dan utiliti GPT menggunakan bintang palsu untuk memalsukan kredibiliti, dan berjaya mencapai pembangun sebenar melalui Discord dan blog teknikal, menghasilkan puluhan ribu muat turun yang dicatatkan.

Penyamaran untuk tujuan "pengambilan pekerja & penjenamaan"

Penyalahgunaan bintang palsu bukan sahaja merebak kepada penilaian syarikat, malah turut menjangkau proses pengambilan pekerja secara individu. Oleh kerana pengurus dan perekrut syarikat merujuk profil GitHub sebagai "penanda aras alternatif bagi kemahiran pembangun", para pencari kerja mempunyai insentif yang kuat untuk memalsukan profil mereka sendiri. Menurut laporan DEV Community, "persona GitHub siap pakai" yang dilengkapi dengan rekod kerja matang, ramai pengikut, dan repositori berbintang didagangkan pada harga kira-kira 5,000 USD (lebih kurang 750,000 yen) bagi setiap akaun.

Sebaliknya, kes penyamaran penyerang sebagai perekrut juga semakin meningkat. Dalam kes yang dilaporkan oleh ReversingLabs, perekrut palsu yang menggunakan LinkedIn dan GitHub telah menghantar mesej seperti "Sila jalankan ujian pengekodan kami di terminal rumah anda", dan apabila pakej Python berniat jahat yang terkandung dalam projek tersebut dilaksanakan, perisian hasad terus disebarkan. Kempen VMConnect ini dilaporkan mempunyai kaitan dengan kumpulan penyerang Korea Utara, Lazarus Group. Dalam kajian yang diterbitkan pada tahun 2024 oleh penyelidik komuniti Heiner di Medium, sekurang-kurangnya 250 akaun perekrut palsu yang "berkongsi foto wanita dengan bio yang serupa" telah dikenal pasti.

Selain itu, Palo Alto Networks Unit 42 turut melaporkan kes di mana penyerang menyediakan repositori jebakan berupa "tampalan" di GitHub, lalu mengarahkan penyelidik keselamatan yang sedang menyiasat kelemahan syarikat ke sana, justeru menjangkiti mereka dengan perisian hasad. Bilangan bintang yang tinggi berfungsi sebagai alat sokongan untuk menambahkan kebolehpercayaan pada jebakan ini.

Di sisi lain, terdapat juga risiko dalam mengidealkan calon pengambilan secara berlebihan. StartupHub.ai menunjukkan gelung maklum balas negatif iaitu "semakin CTO syarikat mementingkan bilangan bintang GitHub calon temu duga, semakin besar keinginan calon tersebut untuk membeli bintang mereka sendiri." Hujah ini menyatakan bahawa budaya yang menjadikan bilangan bintang sebagai faktor utama penilaian calon itu sendiri yang sedang mengembangkan ekonomi profil palsu.

Langkah-langkah yang diambil oleh pengurusan dan jurutera yang bijak pada tahun 2026

Dalam dunia di mana kebolehpercayaan bilangan bintang telah runtuh, pelabur modal teroka (VC) Tier 1 dan para CTO mula menggunakan kombinasi metrik alternatif yang tidak bergantung pada bintang. Ini bukan usaha mencari satu "metrik ajaib," tetapi pendekatan yang lebih mirip pengesahan silang pelbagai perspektif bebas.

Pemeriksaan Bentuk Graf Star History (Sejarah Bintang)

Pemeriksaan pertama ialah memvisualisasikan taburan masa pemberian bintang. Pertumbuhan semula jadi menggambarkan keluk yang landai secara keseluruhan, diselingi lonjakan kecil yang dicetuskan oleh berita, persembahan di persidangan, atau keluaran utama. Sebaliknya, bintang palsu menggambarkan tebing menegak (lonjakan) dalam tempoh 24 hingga 48 jam yang langsung tidak selari dengan peningkatan Issue, PR, atau Discussion. Perbezaan ini amat jelas walaupun dengan mata kasar, dan pada musim bunga 2026, budaya menyemak menggunakan visualizer seperti star-history.com telah menjadi standard de facto. Dalam artikel "Your GitHub Stars Might Be Fake" yang disumbangkan oleh Joe Junior Frecce di Medium pada April 2026, beliau menyatakan: "Para pelabur memerhati keluk pertumbuhan bintang anda. Pertumbuhan perlahan dengan taburan geografi yang luas kini jauh lebih dipercayai berbanding lonjakan yang tertumpu dalam satu minggu."

Penekanan kepada Metrik Penggunaan Sebenar (Bilangan Muat Turun NPM/PyPI)

Bilangan bintang hanyalah "bilangan orang yang menyedari kewujudan repositori tersebut," manakala bilangan muat turun NPM dan PyPI mewakili "bilangan kali pakej tersebut sebenarnya dipasang dan digunakan," menjadikannya metrik yang lebih hampir dengan realiti penggunaan. Walau bagaimanapun, seperti yang jelas daripada eksperimen yang didedahkan oleh pembangun Andy Richardson yang berjaya menaikkan pakej buatannya hampir kepada 1 juta muat turun seminggu menggunakan hanya peringkat percuma AWS Lambda, bilangan muat turun itu sendiri tidak boleh diterima secara buta jika berdiri sendiri. Oleh itu, amalan terbaik pada 2026 ialah melihat "taburan geografi," "taburan mengikut waktu," dan "corak peralihan antara versi" bagi bilangan muat turun secara serentak. Papan pemuka visualisasi yang disediakan oleh Socket, Snyk, libraries.io, dan npmtrends.com memudahkan semakan komposit seperti ini.

"Kualiti" Fork (Garpu)

Fork adalah tindakan yang lebih melekat berbanding bintang, tetapi bilangannya sahaja masih boleh dimanipulasi. Yang benar-benar penting ialah nisbah "fork aktif," iaitu sama ada akaun yang mem-fork kod tersebut telah menambah commit sendiri dan menggunakannya dalam projek mereka. Projek OSS yang sihat dikatakan mempunyai bilangan Fork pada 15–25% daripada bilangan Bintang, manakala nisbah yang amat rendah seperti 0.052 milik Union Labs yang dipaparkan dalam makalah CMU, atau 0.017 milik FreeDomain (dengan 81.3% bintangnya daripada "akaun berzero pengikut"), berada pada tahap di mana pemalsuan boleh dibaca walaupun dengan mata kasar.

Bilangan Repositori Bergantung (Used by)

Apabila graf kebergantungan GitHub diaktifkan, pakej diterbitkan dalam ekosistem pakej yang bersesuaian (npm, PyPI, Go modules, dan lain-lain), dan lebih daripada 100 repositori bergantung padanya, bahagian "Used by" akan muncul di bar sisi kanan skrin repositori. Ini menunjukkan "keutamaan hulu" dalam rantaian bekalan, menjadikannya metrik yang amat sukar dipalsukan. Dalam kalangan VC Tier 1 dan CTO syarikat teknologi besar, budaya melihat senarai avatar "Used by" dan menilai kualiti sumber kebergantungan (sama ada akaun tanpa nama atau organisasi ternama) semasa menyaring calon pemerolehan atau perisian yang sedang dipertimbangkan semakin mantap.

Garis Panduan Bessemer yang Mengutamakan "Unique Monthly Contributors"

Bessemer Venture Partners mendefinisikan "metrik bintang utara" dalam pelaburan sumber terbuka sebagai Unique Monthly Contributor Activity (bilangan penyumbang unik bulanan). Menurut bahan Atlas syarikat tersebut, penyumbang didefinisikan secara luas sebagai "pengguna yang telah membuat Issue, ulasan Issue, PR, atau commit dalam bulan tersebut," dan mencapai 100 orang/bulan secara konsisten dianggap menjanjikan, manakala melebihi 250 orang/bulan secara berterusan dikira sebagai kelas teratas. Keluasan definisi ini memanfaatkan sifat bahawa kos untuk bot yang canggih sekalipun bagi memperagakan Issue, PR, dan commit secara berterusan dalam tempoh yang panjang adalah amat tinggi.

Integrasi Alat Pengesan Bintang Palsu Automatik

Pasukan kejuruteraan bebas turut menerbitkan teknologi pengesanan. dagster-io/fake-star-detector yang diterbitkan oleh Dagster adalah saluran paip yang menggabungkan Dagster, dbt, dan BigQuery, mencapai ketepatan 98% dan kadar ingatan 85% dalam pengesahan pasukan Fraser Marlow. Ullaakut/astronomer ialah alat CLI yang menganggar "kebarangkalian bahawa pengguna yang memberikan bintang adalah manusia sebenar" berdasarkan sejarah tindakan akaun, manakala m-ahmed-elbeskeri/Starguard telah diterima pakai oleh pasukan keselamatan dan VC sebagai alat audit OSS yang menyemak bukan sahaja bintang palsu, tetapi juga tanda-tanda rampasan kebergantungan dan bendera merah lesen secara serentak. mercurialsolo/realstars ialah sambungan Chrome dan plugin Claude Code yang mengaplikasikan penyelidikan StarScout CMU, membolehkan penilaian repositori secara langsung di penyemak imbas. Selepas 2026, pergerakan untuk mengintegrasikan alat-alat ini ke dalam saluran paip CI/CD dan analisis komposisi perisian (SCA) berkembang dengan pesat.

Respons Institusi Industri VC

Walaupun Sequoia Capital dan Andreessen Horowitz (a16z) mengelak sebutan langsung dalam blog rasmi mereka, didakwa bahawa mereka telah menambah "analisis pembelajaran mesin sejarah bintang," "semakan manual taburan penyumbang," dan "semakan silang NPM/PyPI dengan GitHub" ke dalam senarai semak Due Diligence dalaman mereka (berdasarkan catatan daripada StartupHub.ai dan benang tanpa nama Hacker News). Susulan insiden pintu belakang XZ Utils 2024 dan selepasnya (di mana penyerang atas nama Jia Tan mengambil alih hak penyelenggara bersama dalam tempoh lebih dua tahun), Linux Foundation telah menerbitkan garis panduan "penilaian risiko penyelenggara berasaskan andaian kejuruteraan sosial," yang turut mendorong pergerakan VC untuk menilai bukan sahaja "tahap aktiviti" projek OSS, tetapi juga "kesihatan hubungan interpersonal" di dalamnya.

Reaksi Media dan Prospek Masa Depan

Media teknologi terkemuka seperti majalah *Computing* (UK), Slashdot, Bleeping Computer, The Hacker News, TechTarget, DevOps.com, dan How-To Geek telah mula menangani isu bintang palsu bukan sebagai "masalah dalaman GitHub semata-mata", tetapi sebagai cabaran "kebolehpercayaan rantaian bekalan keseluruhan OSS", sejak penerbitan kertas kajian CMU/Socket. GIGAZINE dari Jepun turut menerbitkan artikel penjelasan bertarikh 21 April 2026 bertajuk "Realiti Mengerikan Ekonomi Bintang Palsu di GitHub", yang memperincikan penyelewengan dalam ekonomi bintang dan risiko keputusan pelaburan.

Beberapa syarikat modal teroka (VC) di Silicon Valley serentak menyatakan bahawa mereka "tidak berhenti melihat bintang, tetapi hanya menggunakannya sebagai 'pintu masuk'." Tumpuan Due Diligence yang sebenar kini beralih kepada pembacaan menyeluruh terhadap pelbagai lapisan aktiviti manusia — termasuk sejarah komit kod, kualiti isu, graf kebergantungan, taburan penyumbang, serta "suhu" perbualan komuniti. GitHub dilaporkan sedang mempertimbangkan untuk memperkenalkan secara percubaan ciri "Bintang Berwajaran (Weighted Stars)" dan fungsi shadowban automatik bagi akaun yang menyalahi peraturan bermula pertengahan kedua 2025, namun selagi tindak balas pihak platform belum mengejar, situasi yang menuntut "kemampuan menilai" daripada kedua-dua pelabur dan pembangun akan terus berterusan.

Seperti yang dinyatakan oleh Profesor Madya Vasilescu, "tiada perisian yang ditulis dari sifar pada hari ini — semuanya menggunakan semula apa yang sedia ada sebanyak mungkin." Justeru itu, ekonomi bintang palsu yang mencemari asas kepercayaan komuniti OSS dilihat bukan sekadar penipuan biasa, tetapi sebagai masalah yang menghakis tapak asas industri perisian itu sendiri.

Reaksi Media dan Prospek Masa Depan

Penerbitan utama teknologi seperti *Computing* (UK), Slashdot, Bleeping Computer, The Hacker News, TechTarget, DevOps.com, dan How-To Geek telah mula menangani isu bintang palsu bukan sebagai "masalah dalaman GitHub semata-mata" tetapi sebagai cabaran "kebolehpercayaan rantaian bekalan keseluruhan OSS" sejak kajian CMU/Socket diterbitkan. GIGAZINE dari Jepun turut menerbitkan artikel penerangan bertajuk "Realiti Mengerikan Ekonomi Bintang Palsu GitHub" bertarikh 21 April 2026, yang memperincikan herotan dalam ekonomi bintang dan bahaya dalam membuat keputusan pelaburan.

Beberapa firma modal teroka (VC) di Silicon Valley sebulat suara menyatakan bahawa "mereka tidak berhenti melihat bintang, tetapi hanya menggunakannya sebagai 'pintu masuk' sahaja." Tumpuan *due diligence* yang sebenar kini beralih kepada membaca keseluruhan aktiviti manusia secara berlapis — termasuk sejarah komit kod, kualiti *Issue*, graf kebergantungan, taburan penyumbang, dan "suhu" perbualan komuniti. GitHub dilaporkan sedang mempertimbangkan ujian pelaksanaan fungsi "Bintang Berwajaran (*Weighted Stars*)" dan pengehadapan bayang automatik bagi akaun tidak sah sejak pertengahan 2025, namun selagi tindak balas pihak platform belum memadai, baik pelabur mahupun pembangun akan terus dituntut untuk memiliki "kemahiran menilai" yang tajam.

Seperti yang dinyatakan oleh Profesor Madya Vasilescu, "tiada perisian hari ini yang ditulis dari sifar — semuanya menggunakan semula apa yang sedia ada sebanyak mungkin." Justeru, ekonomi bintang palsu yang mencemari asas kepercayaan komuniti OSS dilihat bukan sekadar penipuan biasa, tetapi sebagai masalah yang menghakis tunjang industri perisian itu sendiri.

Sumber