GitHub 的 Star 经济：从流动性事件到结构性不公

Fiverr 上搜「github stars」，当下同时跳出二十多个在售服务。

最便宜的档位是三美分一颗——但这颗星活不了多久，点完不久就会被 GitHub 清理。中间档几毛钱一颗，这颗星能活几个月。最顶配是德国一家叫 GitHub24 的公司，近一欧元一颗，承诺「一个月后百分之百留存」——加钱还能续保。

「一个月留存」这句话本身就是个信号——它意味着 GitHub 的反刷星算法已经在后台工作，而且严厉到低端服务撑不过一个月。

这不是零散灰产，是工业化供应链。2025 年一份由卡耐基梅隆、北卡州立和 Socket 联合完成、被 ICSE 2026 接收的论文给出了规模数字：GitHub 上已经有约六百万次疑似刷星行为，涉及近两万个仓库、三十多万个账号。

中文圈读者可能更意外的是——这条产业链的源头，相当一部分在中国。

2020 年清华杜坤团队在 ACSAC 发过一篇论文，潜伏进微信和 QQ 上的「GitHub 互刷」群监控了整整一年。最大的群超过一千人，按月收费，每年给推广者带来的净利估算在 340 到 440 万美元。

换句话说，五年后这件事在英文顶会上被热议时，论文做的事不过是把中文世界默认运行的规则翻译了一遍。

需求端的逻辑比供给端更有意思。

2019 年，Redpoint 合伙人 Jordan Segall 在 Medium 上发过一张图：开源创业公司种子轮的 Star 数中位数大约 2850 颗。他在同一篇博客里坦承，许多 VC 会写爬虫自动扫 GitHub 高增长项目。

这两句话合在一起，就是整套套利逻辑的基准。

算笔账：买 2850 颗 Star 的成本下限大约八十五美元，能撬动的融资是百万到千万美元级的种子轮。理论 ROI 上探至十一万倍。

它能存在，是因为种子轮的判断真空。一家公司这个阶段通常没有收入、没有用户规模、没有可验证指标，外界能观察到的只剩「社区反应」。在开源赛道，这个反应最方便量化的就是 Star。

Star 成了事实上的市场势头代理。

VC 的爬虫每日扫描、以「一周内增长过千」为阈值触发项目筛选——一旦达标，项目进入主动联系名单。

这也是为什么 AI/LLM 赛道的假星比区块链还多——CMU 论文统计里，AI/LLM 类仓库贡献了约 17.7 万颗假星，是非恶意类别里的冠军。AI infra 融资最热、FOMO 最浓、估值对社区信号的敏感度最高。

同一颗假星放在 AI 项目上能撬动的真金白银，比放在区块链上更多。

如果 VC 自己都知道 Star 能刷，为什么还继续用？

第一层回答是结构性的——早期阶段没有更好的信号可用。收入要等产品上线之后，留存要等用户积累之后，口碑要等社区成熟之后。Star 是种子轮唯一能画成曲线、能在合伙人会议 PPT 上做对比的那个数字。

第二层更冷酷。

风投的商业模型本来就允许九成项目失败，他们在买的是期权——押中一个能在下一轮以更高估值退出、最终被收购或上市的项目。在这个模型下，Star 是否全真不是最关键的问题——关键是下一轮投资人会不会相信它是真的。

这解释了 VC 在 Star 问题上为什么尽调如此松懈。不是蠢，不是懒，是因为商业模式不强制他们深挖。只要这家公司看起来能让下一个 VC 愿意加注，交易就成立。

刷星的核心风险其实不在种子轮，而在链条末端——通常是一家成长期基金，或者最终的战略收购方。

这个结构会自我强化：VC 用 Star 筛项目 → 创始人发现刷星比真实获客便宜几个数量级 → 更多人刷 → Star 通胀 → VC 必须看更高阈值 → 更依赖 Star 爬虫。

闭环已经形成。每一轮都让 Star 的真实含量下降，同时让它被使用的频率上升。

最讽刺的版本，发生在业内被最多 VC 当筛选池用的开源增长榜上——Runa Capital 的 ROSS Index。Runa 是一家欧洲早期基金，每季度更新一次开源创业公司的增长榜，被硅谷和欧洲多家基金当作 sourcing 池使用。2025 年 Q2 榜单第一名是一家叫 Union Labs 的公司，季度增长指标 54.2 倍，Star 数从几千颗暴涨到 7.43 万。CMU 开源的 StarScout 工具对它的判定是——47.4% 疑似刷星。业内最权威、被最多 VC 参考的榜单，冠军接近一半的 Star 是买的。

买 Star 不是今天才被发明的。

十九世纪美国西部矿业有个词叫 salting——矿主在勘探员取样前，把金粉撒进本来贫瘠的矿洞，做出高品位假象，拿着样本找投资人。1997 年一家叫 Bre-X 的多伦多上市公司宣称在印尼发现巨型金矿，市值一度冲到六十亿加元，最后被独立复核发现金粉是从河里抓来掺进岩芯的，公司瞬间归零。首席地质师在返程的直升机上「坠落」死亡。

当投资决策依赖的指标可以在样本点上被污染时，套利者永远会去污染那个点。区别只是污染物变了——一个是金粉，一个是一次性 GitHub 账号。

Bre-X 之后，金融界没有废掉矿样验证，而是发明了独立第三方复核的强制流程。开源世界对应的「第三方复核」应该是什么？这个问题今天还没有答案——一旦有了，整个 Star 经济的规则会立刻改变。

上面讲完了 VC 为什么愿意买单。但还有一个视角没讲——为什么一个本来可以老实做产品的创始人，会按下那个按钮。

简单的答案——「ROI 十一万倍」——只解释了动机，没解释为什么动机真的会转化为行为。

真正的答案比道德复杂。

我过去几年参与过上百家中国 AI 创业公司的出海增长工作，海外榜单、开源平台、开发者社区的冷启动操作没少接触。这件事不高尚。但要理解为什么 GitHub 刷星在中国 AI 出海团队里几乎是默认操作，必须先把一件事讲清楚。

一个硅谷出身、YC 校友网络里的 founder，发布新项目那天会很自然地发一条推：「我的新开源项目上线了，求个 star」（原句：My new OSS is live, would appreciate stars）。然后前同事、YC 同学、多年的 followers 自动涌来。几小时内几百到几千颗 Star，完全合法——GitHub 并不禁止你邀请朋友。

一个深圳或班加罗尔的 founder 想拿到同样的数字，他没有 YC 圈子、没有硅谷人脉、Twitter 三位数粉丝、朋友不讲英文、也不怎么用 GitHub。他唯一能拿到同样数字的办法，就是付钱。

两者得到的都是「Star」。一个「合法」，一个「作弊」。

但本质上是同一件事——社交资本的变现。

一个资本来自二十年积累的圈子，一个来自市场购买。平台规则不区分这两种，于是事实上变成了谁有社交资本谁赢。

一个刚发布的项目如果头一周只有五十颗 Star，对任何人来说它就是「从一开始就不火」。没有人会多看一眼，没有 VC 会把它加入筛选池，没有开发者会好奇这个仓库是什么。它不会进入任何雷达。

而一个头一周有五千颗 Star 的项目，哪怕其中大部分是买的，它也获得了「看起来值得关注」的第一张门票。真实用户可能因此被吸引来，真实贡献者可能因此愿意试一下——真 Star 才开始有可能产生。

对靠开源可见度拿种子轮的创业者来说，这不是「要不要刷」的道德题，是「要不要活下去」的生存题。

Fiverr 上的买家构成里，英语母语团队也占相当比例。他们的使用场景通常是「朋友圈动员还不够，想先冲几千颗保底」。硅谷创始人私下不会把这当大事，甚至有专门为此打广告的英语 growth hacking 博客。把 GitHub 刷星简单说成「中国人的作弊」，是一个叙事错觉。真实情况是——整个生态都在博弈，英语圈只是在博弈中处于有利位置。

CMU 论文里最值得关注的结论，藏在实证分析部分。

在一个月的短窗口里，假星确实能带动真星增量——效力大约是自然真星的五分之一，但仍然为正。这是前面那套「ROI 十一万倍」的数据来源。

但把窗口拉到三个月以上，曲线反转。累计假星越多的仓库，之后获取真星的速度反而比对照组慢，差距最高达 40%。

机制并不复杂。GitHub 的推荐算法、trending 页面、「你可能感兴趣」栏位，过去两三年逐步加入了活跃度和真实互动的权重。一个 Star 曲线异常陡峭、但 commit、issue、fork 都跟不上的仓库，会被系统自动降权——不出现在首页，不进 trending，不进 weekly digest。

买假星，等于让这个项目失去 GitHub 的自然流量分发。

更残酷的是时间错配。一家 AI 创业公司从种子到 A 轮大约十八到二十四个月——恰好覆盖假星从「短期有效」到「长期有害」的拐点。A 轮 VC 现在会用工具做验证，会对比过去半年的真实贡献者增长曲线。如果贡献者人数几乎没动而 Star 翻倍——这是一个比「Star 数低」更坏的信号。

短期十一万倍，十八个月后变成反向资产。

但这里有个张力值得点破：对一个在冷启动阶段的 founder，「十八个月后的负资产」是一个奢侈的烦恼——它的前提是项目活到十八个月。而项目能不能活到十八个月，恰好要靠那一波初始刷星。

这就是整件事最尖锐的地方。

要让这件事真正改变，不是靠道德谴责。是靠改变不对称本身。

最容易动的是平台。GitHub 如果愿意把 Star 数之外的东西——点星者的账号历史、地域分布、活跃模式、账户之间的关系图——暴露给外部工具和 VC 的尽调流程，整个刷星产业链的成本会立刻翻十倍。这不需要新技术，需要的是产品决策。

其次是 VC。Bessemer 已经把 GitHub Star 明确定义为虚荣指标，转去追踪「每月独立贡献者活跃度」——这个指标造假成本要高得多：需要养号、需要真实 commit、需要连续多月操作。这条路是走得通的。它不消灭刷星，但它消灭刷星的 ROI——当八十五美元换不来融资，那个十一万倍的理论 ROI 就塌了。

至于创始人——坦白说，在前两层没动之前，要求非英语创始人单方面不刷，等于要他自愿退场。

把问题压到创始人那一层，等于把系统问题讲成个人问题。

外部压力也已经在动。美国 FTC 把虚假社交媒体影响力指标明确列为违规，SEC 过去几年起诉过在融资材料里引用虚假市场势头的创始人，指控里出现过电信欺诈条款。

GitHub 自己的反击还没到来。一个可以参照的历史是 Google 搜索——PageRank 算法催生了整个 SEO 黑产；Google 从 2011 年起连续多轮算法更新反击，每一轮都让一批作弊公司一夜清零。GitHub 今天的反刷星水平，大致相当于 Google 2005 年的处境——有基础检测，没有系统性清洗。

如果 GitHub 走 Google 的路径，未来两到三年大概率会出现一次大规模清洗。在那之前靠假星撑起的仓库会在一个夜晚之间回到真实基准，VC 账面会出现组合级的减计。今天还在这个游戏里的创业者，窗口可能只剩十二到十八个月。

但 Google 的经验同时告诉我们——反作弊是军备竞赛，不是终局。

GitHub Star 正走在同一条曲线上。它曾经是、现在仍然是开源社区认可的象征——但它已经不是那个能用来估值公司的 traction 证据了。

信任总会找到新的坐标。

找到之前，裸奔的是今天还在相信旧坐标的人。

不需要成为安全研究员也能做基础判断。CMU 团队把几个经验法则用算法放大了——原理其实并不复杂。

一个真正被使用的开源项目，用户 Star 之后会有显著比例把代码 fork 下来改造或贡献。Python Web 框架 Flask 的 fork/star 比约为 0.24——每 4 颗星对应 1 个 fork。Redis 是 0.38。大部分被活跃使用的顶级开源项目都在 0.15 到 0.5 之间。

典型的刷星项目，这个比例能低到 0.02 以下——比真实项目低整整一个数量级。可能的解释只有两种：要么这是一个被大量围观但从来没人真的用过的项目，要么星星大部分是买的。

Flask 有 800 多个贡献者对应 7 万颗星。Kubernetes 有 3900 多个贡献者对应 11 万颗星。真实被使用的项目，总会有一定比例的 Star 最终转化成代码贡献。

而典型的刷星项目贡献者人数通常停在 1 到 3 个，无论 Star 数涨到多少。

打开目标仓库的 Stargazers 列表，随机抽前 50 到 100 个账号，看三件事：注册日期、follower 数、最近活动。如果超过 60% 的账号是零关注者、没有任何 repository、注册不到半年——几乎可以盖章。

CMU 团队已经把完整的 StarScout 算法在 GitHub 上开源了（仓库 hehao98/starscout），任何懂命令行的人都可以自己跑。

这意味着这件事的信息差正在迅速关闭：一个严肃的 VC 合伙人想要验证项目 Star 真实性，成本从「请安全研究员花两周」降到了「让实习生跑一个开源脚本花两小时」。