Sáu triệu ngôi sao giả. 18.617 kho mã nguồn (repository) bị can thiệp. 301.000 tài khoản ảo. Những con số này không chỉ là thống kê; chúng là minh chứng cho một nền kinh tế bóng tối đang vận hành công khai trên GitHub – nơi mà sự tín nhiệm của cộng đồng lập trình viên đang bị rao bán với giá rẻ mạt. Một ngôi sao (star) trên GitHub có giá thấp nhất chỉ $0,06, nhưng nó lại là chìa khóa mở ra những vòng gọi vốn hàng triệu USD. Khi thuật toán trở thành mục tiêu, nó không còn là thước đo chất lượng.

Giấc mơ tỷ đô và cái giá $0,06/star

Logic của sự thao túng vô cùng đơn giản và tàn nhẫn: Một lượt star tốn $0,06. Một vòng gọi vốn Seed thành công có thể mang về từ 1 triệu đến 10 triệu USD. Phép tính kinh tế này đã thôi thúc hàng ngàn dự án mã nguồn mở bước vào con đường "mua danh". Theo nghiên cứu StarScout được trình bày tại hội nghị ICSE 2026 bởi các nhà khoa học từ Đại học Carnegie Mellon (CMU) và North Carolina State, thị trường này đã chuyên nghiệp hóa đến mức đáng báo ngại.

Các dịch vụ như SocialPlug.io, GitHubPromoter.com hay các gian hàng trên Fiverr cung cấp các gói "tăng trưởng hữu cơ" với cam kết "không bị tụt" (non-drop). Thậm chí, một số nhà cung cấp còn bán những hồ sơ GitHub có thâm niên 5 năm, đầy đủ huy hiệu "Arctic Code Vault Contributor" với giá $5.000 trên Telegram để phục vụ cho các chiến dịch tinh vi hơn.

Cỗ máy sản xuất "uy tín" quy mô công nghiệp

Điều tồi tệ nhất không phải là sự tồn tại của các bot, mà là sự tinh vi trong cách chúng vận hành. Nghiên cứu của CMU chỉ ra rằng 90,42% các kho mã nguồn bị gắn cờ và 57,07% tài khoản ảo đã bị GitHub xóa bỏ tính đến tháng 1/2025, nhưng các chiến dịch mới vẫn mọc lên như nấm sau mưa.

Năm 2024 đánh dấu sự bùng nổ của các dự án AI và LLM – đối tượng hàng đầu của nạn "bơm" star. Với hơn 177.000 ngôi sao giả được phát hiện trong danh mục này, các dự án AI đã vượt qua cả tiền điện tử để trở thành "vua" của sự thổi phồng. Các báo cáo từ Dagster vào tháng 3/2023 đã sớm cảnh báo về hiện tượng này khi họ thử nghiệm mua 1.000 star với giá $64 và nhận thấy mức độ tồn tại của chúng cao đến kinh ngạc nếu sử dụng các dịch vụ "premium" như GitHub24.

Khi "điểm chuẩn" đầu tư trở thành lỗ hổng hệ thống

Tại sao các nhà sáng lập lại mạo hiểm danh tiếng của mình? Câu trả lời nằm ở các quỹ đầu tư mạo hiểm (VC). Jordan Segall, đối tác tại Redpoint Ventures, từng công bố một phân tích trên 80 công ty công cụ phát triển (DevTools), thiết lập một "điểm chuẩn" vô hình: Trung vị số star để nhận vốn Seed là 2.850 và Series A là 4.980.

Chính những con số này đã vô tình tạo ra mục tiêu cho các vụ gian lận. Nhiều quỹ VC sử dụng các chương trình quét dữ liệu tự động để tìm kiếm các dự án "trending". Chỉ số ROSS (Runa Open Source Startup) Index của Runa Capital, vốn xếp hạng các startup dựa trên tốc độ tăng trưởng star, đã trở thành bảng vàng mà mọi dự án đều khao khát. Theo TechCrunch, 68% các startup xuất hiện trong ROSS Index đã thu hút được đầu tư ngay từ giai đoạn Seed. Khi "internet point" trở thành tiền tệ thực tế, sự trung thực trở thành một món nợ xa xỉ.

Dấu vân tay của sự giả tạo: Giải mã ma trận số liệu

Tuy nhiên, sự thao túng luôn để lại dấu vết. Các chuyên gia phân tích dữ liệu đã chỉ ra những "dấu vân tay" không thể chối cãi của các chiến dịch mua star:

1. Tỷ lệ Watcher-to-Star cực thấp: Một dự án hữu cơ như Flask có hàng ngàn người theo dõi sát sao. Ngược lại, dự án FreeDomain với 157.000 star chỉ có 168 người theo dõi (watcher). Tỷ lệ này thấp hơn 26 lần so với mức bình thường.
2. Sự im lặng của các Fork: Khi một kho mã nguồn có hàng chục ngàn star nhưng gần như không có lượt fork nào, điều đó có nghĩa là không ai thực sự sử dụng hoặc đóng góp vào mã nguồn đó. "Nếu không ai fork, không ai đang dùng nó," một kỹ sư tại Socket nhận định.
3. Hồ sơ "bóng ma": Các tài khoản star thường có 0 follower, 0 repository và không có tiểu sử. Ngay cả khi chúng có tuổi đời hàng ngàn ngày để vượt qua bộ lọc tài khoản mới, sự trống rỗng trong hoạt động là bằng chứng thép cho thấy đây là các tài khoản "ngâm" để bán.

Hậu quả và sự sụp đổ của một thước đo

"Khi một thước đo trở thành mục tiêu, nó không còn là một thước đo tốt," Định luật Goodhart đã vận hành chính xác trong trường hợp này. Việc GitHub star bị thao túng đang gây ra một cuộc khủng hoảng niềm tin sâu sắc trong cộng đồng mã nguồn mở. Những nhà phát triển chân chính cảm thấy nỗ lực của mình bị nhấn chìm giữa "biển lừa đảo".

Các chuyên gia tại CMU khuyến nghị GitHub nên áp dụng các chỉ số phổ biến có trọng số (weighted metrics) dựa trên mức độ trung tâm mạng lưới thay vì chỉ đếm số sao thô. Nhiều nhà đầu tư cũng bắt đầu chuyển dịch sang các chỉ số định tính hơn: số lượng người đóng góp thực tế (active contributors), tốc độ phản hồi issue, và quan trọng nhất là "tải về thực tế" (package downloads).

Cuối cùng, một ngôi sao trên GitHub có thể được mua bằng vài cent, nhưng sự tín nhiệm của cộng đồng thì không. Như một bình luận sắc sảo trên Hacker News đã đúc kết: "Bạn có thể làm giả số star, nhưng bạn không thể làm giả một bản vá lỗi cứu cả ngày cuối tuần của ai đó."

Nguồn tham khảo:

• CMU, NC State & Socket: "StarScout: Six Million Suspected Fake Stars in GitHub" (ICSE 2026).
• Dagster: "Tracking the Fake GitHub Star Black Market" (3/2023).
• Jordan Segall (Redpoint Ventures): "Analysis of 80 Developer Tool Companies" (2024).
• Runa Capital: "ROSS Index Quarterly Reports" (2024-2025).
• Tsinghua University: "Measuring and Characterizing Promotion Services on GitHub" (ACSAC 2020).