"600万个虚假Star"震惊业界的ICSE 2026论文

2026年4月,在巴西举办的ICSE(国际软件工程会议)研究轨道中,最受瞩目的报告之一,是以CMU博士生何浩(Hao He)为第一作者的论文《GitHub上的六百万(疑似)虚假Star:人气竞争、垃圾刷量与恶意软件的恶性螺旋》。共同研究者包括CMU的Bogdan Vasilescu副教授Christian Kästner副教授、北卡罗来纳州立大学的Alexandros Kapravelos,以及Socket公司数据科学家Philipp Burckhardt等人。

研究团队从GHArchive中解析了多达20TB的GitHub元数据,涵盖共计67亿条事件与3.26亿条Star记录,并开发了自研检测工具"StarScout"。StarScout结合两种信号进行异常检测:一是"仅对单一仓库点过Star、活跃度极低的账号",二是"在短期内以同步方式对同一批仓库集中点Star的50个以上账号簇(锁步模式,Lockstep Pattern)"。结果显示,横跨18,617个仓库的约600万个Star被高度怀疑为虚假Star,涉及账号数量约达30.1万个。

印证论文可信度的是,StarScout判定为违规的仓库中,有90.42%在2025年1月时点已被GitHub删除,账号也有57.07%遭到封禁。相比之下,普通仓库的删除率约为5.03%,账号删除率约为3.54%,吻合率之高极为显著。Vasilescu副教授在CMU官方声明中表示:"垃圾行为与虚假Star之间的关联此前已有指出,但令我们感到震惊的是其'规模'。"他还补充道:"GitHub整体生态系统正如社交媒体一样,以'注意力经济'的模式运作。"

尤为值得关注的是,2022年初几乎为零的虚假Star活动,到2024年7月已膨胀至百倍规模。仅该月单月,拥有50个以上Star的仓库中,有16.66%被认为极有可能参与了虚假Star活动。

公然销售的"GitHub Star"——真实存在的市场全貌

当提到"虚假Star",或许很多读者会联想到暗中交易的黑市。然而现实恰恰相反——多家拥有正规电商平台、24小时客服支持、甚至符合欧盟规范发票系统的企业,正在堂而皇之地将GitHub Star作为"商品"公开销售。以下列举硅谷创始人和VC圈中频繁被提及的典型销售商。虚假Star问题并非传言,而是已作为经济活动扎根于现实

Baddhi Shop(印度·班加罗尔)

专注社交媒体增长的Baddhi Shop,将GitHub Star与Instagram粉丝、YouTube播放量、TikTok点赞并列为正规服务项目。售价极为低廉,1,000个Star仅需64美元,是OSS创始人和增长顾问中最常被提及的供应商之一。Dagster的Fraser Marlow通过搭建测试仓库(frasermarlow/tap-bls)进行的实测验证显示:通过Baddhi Shop购买的Star中,约75%在一个月内被GitHub删除,但其短期集中爆发的效果足以刺激Trending算法。

GitHub24(德国·慕尼黑)

GitHub24由在慕尼黑完成商业登记的法人Moller und Ringauf GbR运营,是一家欧洲本土的正规企业。售价为每个Star €0.85,约为Baddhi Shop的13倍,但在Dagster的实验中,购买的Star几乎全部在数月内保持留存,树立了"高质量·持久型Star"的市场定位。由于法人登记信息、银行账户及符合欧盟规范的发票均完全透明,可作为"营销费用"入账报销的合规外衣,极大降低了初创企业财务负责人的心理门槛。

硅谷圈知名的美国系供应商群体

Checkmarx的Yehuda Gelb在《The GitHub Black Market》中列举的美国系销售商包括:SocialPlug.io(支持多币种支付与24小时客服,注册于内华达州)、Buy.fans(Twitter/Instagram/GitHub交叉销售型)、GitHubPromoter.com(GitHub专营老牌商家)、Boost-Like.store(最低5个Star起订)、Followdeh.comVurike.com等十余家。这些供应商的共同点在于,均设有明确面向硅谷场景的产品线,如"Silicon Valley Developer Credibility Package"和"Seed-Stage Founder Boost"。销售页面上明确将"YC(Y Combinator)Demo Day前"、"A轮融资前"等具体场景标注为目标客户,针对VC项目sourcing流程展开了露骨的销售话术。

Fiverr与Telegram上的流通渠道

在美国自由职业平台Fiverr上,以"GitHub Star Boost"、"GitHub Fork Service"、"GitHub Trending Service"等关键词搜索,可检索到数百个gig(一次性服务),最低5美元即可下单。此外,Telegram上针对英语圈、俄语圈、中文圈各自设有专属频道全天候运营,支持加密货币、卢布、人民币结算的销售群组均有记录在案。The Hacker News和BleepingComputer的持续追踪报告揭示了全球市场按地区分工运营的格局。

最高端细分市场:单账号约5,000美元的"老号"市场

价格最高的商品是单价约5,000美元的"现成GitHub人格"。这类账号创建于两年以上之前,拥有持续的提交历史、粉丝及Fork记录,已被"培养"至难以与真实资深开发者区分的程度。据DEV Community的报道,此类账号被广泛用于OSS创业者的履历造假、求职申请时的资料伪装、恶意软件仓库的信用背书,乃至为VC路演PPT捏造"核心维护者名单"。单账号约5,000美元的价格区间能够作为稳定市场存在,本身就是虚假生态系统具备相应经济合理性与持续需求的最有力佐证。

由此可见,"虚假Star"早已不是少数黑客在暗处买卖的例外商品,而是由专业企业公开产品页面、支持信用卡支付的正规服务。对硅谷VC和OSS创始人而言,真正令人震惊的是:竞争对手或潜在投资对象,可以与自己一样,通过同一个公开网站,只需一笔信用卡交易便能购得这一切。后续章节将依次梳理使用上述销售渠道所引发的投资诈骗与恶意软件事件,以及一线VC已开始采取的具体防御措施。

硅谷风险投资人对"声誉泡沫"的警惕

Tier 1风险投资机构已开始将这一问题视为"动摇尽职调查(Due Diligence)根基的风险",而非单纯的技术造假行为。Redpoint Ventures(红点创投)合伙人Jordan Segall此前公开发布的数据驱动型融资指南《So How Many Stars Is Enough?》,通过对80余家开发者工具企业的分析,提出了种子轮融资时中位数为2,850颗星、A轮时为4,980颗星的具体数据,并由此成为业界广泛引用的基准。Segall在该文中坦言:"许多VC都在自行编写爬虫程序,试图挖掘高速增长的GitHub项目,而在这一过程中被参考最多的指标就是Star数。"这一表述印证了Star数与VC项目发掘渠道直接挂钩的现实。

然而,"2,850颗星相当于种子轮水准"这一经验法则的广泛传播,反而催生了反向激励。GitHub24(由德国慕尼黑注册法人Moller und Ringauf GbR运营)等外观合法的服务以每颗星€0.85(约138日元)的价格进行交易,因此伪造2,850颗星所需的预算仅约为€2,422(约39.5万日元),即便是A轮中位数4,980颗星也不过€4,233(约68.9万日元)。考虑到同期种子轮融资额中位数为100万至1,000万美元(约1.5亿至15亿日元),其投资回报率高达3,500倍乃至最高117,000倍,比例之悬殊令人咋舌。硅谷SaaS专业媒体SaaStr及The Information的投资者简报均竞相报道这一"非对称投资回报"现象,并发出警示:"GitHub Star已不再是独立的决策指标。"

Awesome Agents杂志于2026年4月刊载的专题报道《Inside GitHub's Fake Star Economy》披露,硅谷多位风险合伙人以匿名方式表示:"过去两年的投资决策中,至少有数笔若事后核查Star历史记录,则可能会重新考虑。"这表明,即便是Tier 1风险投资机构,自我纠错机制也正逐渐失效。

欺骗VC(风险投资)的"投资诈骗"案例

利用GitHub虚假Star进行投资欺诈的案例,已在具体判例层面有所显现。曾担任测试自动化初创公司HeadSpin(HeadSpin)CEO的Manish Lachwani,因将销售业绩虚报至实际水平的约4倍、并向投资者谎称苹果公司及美国运通公司为客户,被以电信欺诈(Wire Fraud)及证券欺诈罪起诉。其涉嫌欺诈融资总额高达8000万美元(约合1.2亿人民币),于2024年4月被判处18个月实刑及100万美元(约合150万人民币)罚款。法律专家将此判决定位为一项重要判例,明确表明"软性指标的虚假夸大可构成刑事处罚对象",并有观点认为"若投资者基于Star数量进行资本投入,购买虚假Star的行为可能符合电信欺诈的认定框架"。

此外,风险投资机构Runa Capital公布的"ROSS Index(Runa开源初创企业指数)"2025年第二季度排名中,Union Labs(一家区块链相关初创企业)以单季54.2倍的Star增长率及累计74,300个Star荣登榜首。然而StarScout事后分析发现,Union Labs的Star中47.4%被判定存在虚假Star嫌疑,且32.7%的Star账号为"不持有任何仓库"的账户,52%为"零粉丝"账户。Fork与Star的比率仅为0.052,远低于健康项目的平均值0.16,呈现出明显的异常值,表明驱动投资周期的排名本身可能已遭到污染。ROSS Index被全球众多风险投资机构作为"发掘新兴OSS初创企业的工具"加以参考,其公信力动摇所带来的影响不可估量。

美国联邦贸易委员会(FTC)于2024年10月正式确立"消费者评论规则(Consumer Review Rule)",明确禁止出于商业目的伪造社交媒体影响力的行为。违规者每次最高可被处以53,088美元(约合40万人民币)的民事罚款,因此在股权融资过程中使用虚假Star,除面临美国证券交易委员会(SEC)的处罚风险外,还将额外承担来自FTC的处罚风险。

经过精心掩饰的"僵尸农场"

2024年以前的"僵尸农场"(Bot Farm),主要以"一眼就能看出可疑"的方式运作,例如刚创建的账号在个人资料仍为空白的情况下便集体点赞。然而,2025年以后的僵尸农场开始利用经过长期"养号(Aging)"的账号,使其愈发难以与真实用户区分。

根据StartupHub.ai于2026年4月发布的分析,当前一代的虚假互动已进化至"自动生成跨多段落的技术评论、提交附带复现步骤的Issue、发送包含实质性代码修改的Pull Request"的程度。此外,AI生成的头像、以月为单位持续伪造的提交历史、Fork的仓库、个人简介文本、粉丝等全方位的"社会性背景"也被一并构建。这类"养熟账号"的市场价格为每个Star $0.80~$0.90(约120~135日元),是一次性账号的10倍以上。

曾任Dagster CEO的Fraser Marlow在公司工程博客中坦言:"在融资前阶段,我在'GitHub Star'上花费了相当多的时间。"他为了验证其机制,亲自创建了一个虚假仓库(frasermarlow/tap-bls),并从Baddhi Shop(1,000个Star售价64美元:约9,600日元)GitHub24等多家供应商处实际购买了Star,以观察其行为表现。结果显示,Baddhi Shop的Star在一个月内有75%遭到删除,而GitHub24的Star则几乎全部保留,印证了"一分价钱一分货"的质量差异。

"GitHub Trending"标签的算法破解

GitHub的探索(Explore)标签页中显示的"Trending",是新用户发现项目的重要入口。在被检测出虚假Star刷量活动的仓库中,有78个曾出现在GitHub Trending上,这证明该算法确实已被攻破。例如,某个仓库在一周内从10个Star急增至500个Star,Trending算法便会将其识别为"急速上升"并进行放大推送,使其出现在首页,进而被真实开发者看到,随之引发"真实Star"的连锁增长——即所谓的"引导效应"(Bootstrap Effect)。

安全媒体BleepingComputer将这一机制描述为:"由于能在短期内获得同时受投资者和开发者信任的顶级排名,对于恶意软件仓库而言,这是一个极为有效的分发渠道。"此外,正如Checkmarx的Yehuda Gelb在《The GitHub Black Market: Gaming the Star Ranking Game》中所揭示的,SocialPlug.io、Buy.fans、Boost-Like.store、GitHubPromoter.com、Followdeh.com、Vurike.com等至少十余家服务商公然提供Star销售服务,Fiverr及多个Telegram频道上也持续存在日常交易的情况。

对竞争对手的"负面机器人"攻击

GitHub上虽不存在类似社交媒体的"负面评价"按钮,但以达到相同效果为目的的机器人攻击已日趋显现。具体手法包括:向竞争对手的仓库批量发送"举报(Report spam/abuse)",诱导GitHub Trust & Safety团队触发自动封禁;或故意大量提交无意义的Issue和低质量PR,蚕食维护者的时间。

StepSecurity于2026年3月披露的"hackerbot-claw"事件标志着这一新阶段的到来。2026年2月21日至3月2日期间,一个自称"autonomous security research agent"的AI驱动机器人(声称内部使用了Claude-Opus-4.5),以Microsoft、DataDog、CNCF等至少7个主要开源项目的CI/CD流水线为目标,自动轮换5种攻击手法并反复实施远程代码执行。其中某知名仓库的具有写入权限的GitHub令牌遭到成功窃取,因此该事件被视为"以排挤竞争对手或牟取经济利益为目的的自主AI攻击"的先兆,而非单纯的恶作剧。

此外,2026年4月还确认了一场名为"prt-scan"的攻击活动——攻击者在26小时内向知名组织及个人开发者发送了475个恶意PR。趁维护者深陷代码审查之际,将注意力引向其他攻击向量,是一种典型的干扰战术。GitHub公司Trust & Safety负责人对此回应称,将于2026年第二季度试点引入PR速率限制与AI门控审查机制。

供应链攻击(恶意软件传播)案例

假星标最大的危险在于"通过伪装成可信仓库来传播恶意软件"。CMU的研究发现,获得假星标的仓库大多是冒充"盗版软件"、"游戏外挂"、"加密货币机器人"的短命钓鱼型恶意软件仓库。Socket公司的分析也表明,在被VirusTotal判定为恶意软件的仓库中,有28个在发布时仍残存于GitHub上。作为典型案例,Socket研究人员点名的Solmonster/PhantomSniper-Solana-Sniper-Bot,在伪装成Solana"狙击机器人"的同时,通过隐藏的spawn()调用启动经过混淆的远程脚本,其设计目的是从用户的加密货币钱包中窃取资金。被发现时该仓库已拥有109个假星标,大量受害者在Issue线程中发出了警告。

规模更大的事件是2025年3月发生的tj-actions/changed-files供应链入侵事件(CVE-2025-30066)。该GitHub Action被超过23,000个仓库使用,攻击者在窃取@tj-actions-bot的PAT后,将所有版本标签篡改为恶意提交,并通过CI运行器的内存转储,将AWS访问密钥、GitHub PAT、npm令牌、RSA私钥等敏感信息泄露至工作流日志中。CISA(美国网络安全和基础设施安全局)、Wiz、Unit 42、Semgrep、Cycode等主要安全厂商相继发出警告,影响还波及同期遭到篡改的reviewdog/action-setup@v1(CVE-2025-30154)。

2025年11月,针对npm生态系统的"Shai-Hulud 2.0"攻击活动爆发。Unit 42、Microsoft Security、Wiz、CheckPoint、Arctic Wolf、Zscaler相继发布详细报告,受影响范围涉及超过25,000个GitHub仓库,以及包括Zapier、ENS Domains、AsyncAPI、PostHog、Browserbase、Postman在内的数百个npm包。攻击者在preinstall阶段执行setup_bun.jsbun_environment.js,窃取受害者的npm令牌、GitHub令牌、SSH密钥、云凭证、CI/CD机密,并在受害账户下创建名为"Shai-Hulud"的公开仓库,将泄露信息提交其中,呈现出自我复制式的行为模式。

在此类高级攻击中,假星标发挥着"初始入口"的作用。通过污染工具发现的流量入口,大幅放大了造成危害的概率。The Hacker News于2025年12月报道的PyStoreRAT攻击活动中,伪装成OSINT工具或GPT实用程序的仓库借助假星标伪装出可信度,并通过Discord和技术博客触达真实开发者,最终录得数万次下载。

以"招聘·品牌宣传"为目的的伪装

假星刷量的滥用已不仅限于企业估值,还蔓延至个人求职招聘环节。由于企业招聘负责人和管理者将GitHub主页作为"开发者能力的替代指标"加以参考,求职者因此有强烈的动机伪造自己的主页。据DEV Community报告,以每账号约5,000美元(约75万日元)的价格,可以购买到配备成熟履历、大量粉丝及带星标仓库的"现成GitHub人设"。

与此同时,攻击者冒充招聘人员的案例也在增加。ReversingLabs报告的案例中,利用LinkedIn和GitHub伪装的虚假招聘者发送"请在您本地终端运行我们的编程测试"的消息,当项目中包含的恶意Python包被执行的瞬间,便会部署恶意软件。这一VMConnect活动被指与朝鲜攻击组织Lazarus Group存在关联。Medium上社区研究员Heiner于2024年公布的调查中,确认了至少250个"共享女性照片与相似简介"的虚假招聘账号。

此外,Palo Alto Networks Unit 42也报告了攻击者在GitHub上准备伪装成"补丁"的陷阱仓库,将正在调查自身漏洞的安全研究人员诱导至该仓库,进而反向植入恶意软件的案例。大量的星标数量在此类陷阱中充当了增加可信度的道具。

另一方面,对招聘候选人的过度理想化同样存在风险。StartupHub.ai指出了一种负反馈循环:"企业CTO越重视面试候选人的GitHub星标数,候选人就越想购买星标。"这一观点认为,将星标数量作为候选人评估主要依据的文化本身,正在扩大虚假主页的经济规模。

2026年,聪明的管理层和工程师正在采取的应对措施

在GitHub星标可信度崩塌的世界里,Tier 1 风险投资机构和CTO们已开始采用不依赖星标的替代指标组合。这不是寻找单一"魔法指标"的工作,而是一种对多个独立视角进行交叉验证的方法论。

Star History(星标历史)图形形态的审查

第一项检查是将星标授予时机的分布可视化。自然增长以新闻报道、会议演讲、重大发布等为契机,夹杂小幅峰值,整体呈平缓曲线。相比之下,虚假星标会在24至48小时内出现垂直悬崖式的峰值,与Issue、PR、Discussion的增长完全脱节。这一差异肉眼即可清晰辨别,截至2026年春,使用star-history.com等可视化工具进行核查已成为事实上的行业标准。Joe Junior Frecce在Medium上于2026年4月发表的文章《Your GitHub Stars Might Be Fake》中指出:"投资者会观察你的星标增长曲线。地理分布广泛的缓慢增长,远比一周内集中爆发的峰值更受信任。"

实际使用指标(NPM/PyPI下载量)的重视

星标数量不过是"认知该仓库的人数",而NPM和PyPI的下载量代表"实际安装并使用该软件包的次数",因此更接近真实使用情况。然而,正如开发者Andy Richardson公开的实验所揭示的——他仅凭AWS Lambda免费额度便将自制软件包的周下载量推高至近百万次——下载量本身单独来看也不可轻信。因此,2026年的最佳实践是结合下载量的"地理分布"、"时间段分布"以及"版本间迁移模式"综合研判。Socket、Snyk、libraries.io、npmtrends.com提供的可视化仪表板大大简化了这类复合检查。

Fork(派生)的"质量"

Fork是比星标黏性更高的行为,但仅凭数量同样可被操控。真正重要的是,派生账户是否在该代码上积累了独立提交、并在自己的项目中加以应用,即"活跃Fork"的占比。健康的OSS项目中,Fork数通常占星标数的15%至25%。而CMU论文中提及的Union Labs仅有0.052的极低比率,以及FreeDomain的0.017(其中81.3%的星标来自"零关注者账户"),这种造假程度即便肉眼也能识破。

依赖仓库数(Used by)

当GitHub依赖关系图已启用,且该项目已发布至对应软件包生态系统(npm、PyPI、Go modules等),并有100个以上仓库依赖该项目时,仓库页面右侧边栏会显示"Used by"区块。这一指标体现了供应链上的"上游地位",因此极难伪造。Tier 1 风险投资机构和大型科技公司的CTO在审查收购候选项或评估引入软件时,浏览"Used by"中的头像列表、核查依赖方的构成质量(是匿名账户还是知名组织)的文化正在逐步形成。

Bessemer关于"Unique Monthly Contributors"的北极星指引

Bessemer Venture Partners(贝塞麦风险投资合伙公司)将开源投资的"北极星指标"定义为Unique Monthly Contributor Activity(月度独立贡献者活跃数)。根据该公司的Atlas资料,贡献者采用广义定义,即"当月内进行过Issue创建、Issue评论、PR或提交中任一行为的用户"。稳定达到100人/月即被视为有潜力,持续超过250人/月则跻身顶级行列。这一广泛定义的背后逻辑在于,即便是精密的机器人,要持续模拟Issue、PR、提交的成本也呈指数级上升。

自动化虚假星标检测工具的整合

独立工程团队也已公开了检测技术。Dagster开源的dagster-io/fake-star-detector是结合Dagster、dbt、BigQuery构建的管道,Fraser Marlow团队的验证显示其精度达98%、召回率达85%。Ullaakut/astronomer是一款CLI工具,通过账户历史行为估算"点击星标者为真实用户的概率";m-ahmed-elbeskeri/Starguard则是一款OSS审计工具,不仅检测虚假星标,还一并审查依赖项的劫持迹象和许可证风险信号,已同时被安全团队和风险投资机构采用。mercurialsolo/realstars是应用CMU StarScout研究的Chrome扩展+Claude Code插件,可直接在浏览器中评估仓库质量。2026年以来,这些工具被整合进CI/CD及软件成分分析(SCA)管道的趋势正在迅速扩展。

风险投资行业的制度性应对

Sequoia Capital和Andreessen Horowitz(a16z)在官方博客中对此未作直接表态,但据悉已在内部尽职调查清单中增加了"星标历史的机器学习分析"、"贡献者分布的人工审查"、"NPM/PyPI与GitHub的交叉核查"等项目(来源:StartupHub.ai及Hacker News匿名帖子)。Linux Foundation在2024年XZ Utils后门事件(攻击者以Jia Tan身份历时两年以上夺取共同维护者权限)之后,发布了"以社会工程攻击为前提的维护者风险评估"指南,这也推动风险投资机构在评估OSS项目时,不再局限于"活动量",而开始关注"人际关系的健全性"。

媒体反应与未来展望

英国《Computing》杂志、美国Slashdot、Bleeping Computer、The Hacker News、TechTarget、DevOps.com、How-To Geek等主要科技媒体,自CMU/Socket论文发表以来,已开始将虚假Star问题视为"OSS整体供应链可信度"的课题,而非"仅仅是GitHub的内部问题"。日本的GIGAZINE也于2026年4月21日发布了题为《GitHub虚假Star经济的可怕现实》的解说文章,详细介绍了Star经济的扭曲现象及投资判断的风险。

硅谷多家风险投资机构异口同声地表示:"我们不会停止看Star,但只会把Star当作'入口'来使用。"真正的尽职调查重心,正在向综合解读多层次人类活动的总体状况转移——包括代码提交历史、Issue的质量、依赖关系图谱、贡献者分布,以及社区对话的"温度"。据报道,GitHub自2025年下半年起,正在考虑试行"加权Star(Weighted Stars)"以及对违规账号实施自动影子封禁功能,但在平台侧的应对措施跟上之前,投资者与开发者双方都将持续面临需要具备"慧眼识珠"能力的局面。

正如Vasilescu副教授所指出的:"如今没有任何软件是从零开始编写的,人们会尽可能地复用已有的成果。"正因如此,污染OSS社区信任基础的虚假Star经济,不仅仅是一种欺诈行为,更被视为一个侵蚀软件产业根基本身的严峻问题。

媒体反应与未来展望

英国《Computing》杂志、美国Slashdot、Bleeping Computer、The Hacker News、TechTarget、DevOps.com、How-To Geek等主要科技媒体自CMU/Socket论文发表以来,已开始将虚假Star问题不再视为"GitHub内部事务",而是作为"整个OSS供应链可信度"的课题来对待。日本的GIGAZINE也于2026年4月21日发布了题为《GitHub虚假Star经济的可怕现实》的解析文章,详细介绍了Star经济的扭曲现象及投资判断的隐患。

硅谷多家风险投资机构异口同声表示:"我们不会停止关注Star,但只把Star当作'入口'来使用。"真正的尽职调查重心已转向读取代码提交历史、Issue质量、依赖关系图、贡献者分布、社区对话"温度"等多层次人类活动的综合面貌。据报道,GitHub自2025年下半年起正在考虑试点引入"加权Star(Weighted Stars)"以及违规账号自动影子封禁功能,但在平台端响应跟上之前,投资者和开发者双方都需持续具备"火眼金睛"的识别能力。

正如Vasilescu副教授所指出的:"如今没有任何软件是从零开始编写的,能复用的都会尽量复用。"正因如此,污染OSS社区信任基础的虚假Star经济,不仅仅是一种欺诈行为,更被视为侵蚀整个软件产业根基的深层问题。

来源