Популярность на GitHub помогает открывать ценные возможности для разработчиков и стартапов. Подпольные магазины продают «звезды» для проектов на этой платформе, предлагая программистам способ буквально следовать популяному слогану «Fake it till you make it».

Github уверенно занял место «лучшего друга программиста», объединив инструменты для разработки ПО с функциями совместной работы, которые создают своего рода социальную сеть для тех, кто разбирается в коде. Успех компании так же привел к появлению не самой желательной особенности социальных платформ: нелегальному рынку фальшивой вовлеченности.

Экосистема интернет-магазинов и чатов в открытую продает звёздочки на Github-е, которыми пользователи награждают интересные проекты и которые используются для определения самых популярных из них. За выгодную цену в 6 долларов, уплаченную эфиром, WIRED купила 50 звёзд для бездействующего проекта GitHub на сайте, нагло названным «BuyGithub.com». Фальшивые лайки появились всего через несколько часов.

Продающиеся на нём фальшивые звездочки являются лишь частью более широкого черного рынка онлайн-активностей, используемых программистами, инвесторами и другими специалистами в области технологий, чтобы выделить перспективных программистов и стартапы при принятии решения, кого нанимать, на кого работать работать, или в кого инвестировать.

Интернет-магазины также предлагают голоса за проекты, представленные на Product Hunt — платформе сообщества, которая помогает пользователям быстрее всех открыть для себя новинки в области технологий, а также подписчиков и просмотры в сообществе дата-саентистов Kaggle, где выдающиеся достижения могут привести к предложениям о работе. Похоже, продавцы стремятся воспользоваться амбициями и, возможно, отчаянием людей, ищущих кратчайший путь к успеху в отрасли, которая иногда ассоциируется с мантрой «притворяйся, пока у тебя это не получится».

«Почти все онлайн-манипуляции — это некая форма захвата внимания с целью заработать деньги — привлечь внимание, а затем превратить его в деньги или власть», — говорит Филиппо Менцер, директор «Обсерватории социальных сетей» в Университете Индианы. «GitHub ничем не отличается. Это рынок внимания, потому что существуют механизмы, с помощью которых люди приобретают известность, влияние и репутацию благодаря тому, насколько популярно или широко используется их программное обеспечение».

«В бото-вселенную!»

Фрейзер Марлоу, руководитель отдела развития стартапа по оркестровке данных Dagster, наткнулся на рынок обмана GitHub в прошлом году после того, как заметил, что инвесторы, похоже, используют звездочки на платформе в качестве сигнала о том, что опенсорсный проект пользуется популярностью.

Его команда купила звездочки в двух разных интернет-магазинах и использовала собранные в процессе данные для построения модели обнаружения поддельных звездочек в репозиториях Github. Они запустили модель на собственном репозитории кода Dagster, а также в нескольких других.

Криптовалютный проект Okcash оказался худшим нарушителем: 97% из его 759 звезд были помечены детектором Dagster как поддельные. Между тем, только 1,6% из 29 435 звезд были помечены как поддельные для Apache Airflow, открытого проекта, конкурирующего с Dagster. Анализ был ограничен звездами, полученными начиная с 2022 года; компания Astronomer, которая занимается сообществом Apache Airflow, отказалась от комментариев.

Основатель Okcash Октоши Сан заявил, что его проект не переживает о «показателях тщеславия», таких как звезды и форки, но некоторые члены сообщества запустили раздачу халявы (токены Okcash) в обмен на звезды для проекта на GitHub.

Выводы Dagster основаны на более ранних работах, в том числе на статье исследователей, которые выявили более 63 000 аккаунтов, подозреваемых в награждении поддельными звездами, активных на Github в период с 2015 по 2019 год. Результаты были получены путем анализа данных от продавцов звезд в чатах Telegram и китайских WeChat и QQ.

«Служба безопасности GitHub уже много лет знает о присутствии поддельных звездочек и активно работает над их удалением с платформы», — говорит Джесси Джерачи, консультант компании по онлайн-безопасности. Джерачи признает, что может быть непросто найти баланс между точным удалением недостоверных учетных записей и разрешением беспрепятственной работы настоящих. «Шестьдесят три тысячи подозрительных аккаунтов могут казаться большим количеством, но это очень небольшой процент от более чем 100 миллионов разработчиков, работающих на GitHub», — говорит Джерачи.

После публикации в блоге Марлоу о его работе по отслеживанию подозрительных звезд почти все звезды, за которые он заплатил, исчезли в течение недели. Звездочки, приобретенные WIRED, также были удалены менее чем через месяц после покупки. Команда GitHub по борьбе со злоупотреблениями сочетает ручное расследование с программными методами выявления недостоверных учетных записей.

«Мне нравится думать, что одержимость звездами GitHub была своего рода пережитком пузыря ZIRP», — говорит Марлоу, имея в виду политику нулевых процентных ставок, которая недавно закончилась в США. Это профессиональное, чем одержимы только венчурные капиталисты и фирмы, — говорит он, — но за последний год он уже заметил, что люди придают этому всё меньше значения.

Венчурные инвесторы «запрограммированы» на поиск быстрорастущих стартапов, ищущих инвестиции, говорит Пратима Айягари, партнер венчурной фирмы Nauta Capital. По ее словам, проекты с открытым исходным кодом могут работать годами, не принося существенного дохода, поэтому инвесторы ищут другие сигналы роста, среди которых звезды GitHub — лишь один. По ее словам, успех таких компаний, как компания Mulesoft, занимающаяся ПО для бизнеса, и платформа совместной разработки программного обеспечения Gitlab вызвали большой интерес к компаниям с открытым исходным кодом. «Деньги венчурных инвесторов просто хлынули в эту область».

Чтобы отслеживать опенсорсные стартапы, венчурная фирма Runa Capital создала индекс ROSS, который ранжирует компании по годовым темпам роста звезд Github. Он стал широко используемым эталоном для быстрорастущих продуктов.

Индекс является хорошим предсказателем того, получит ли компания раунд инвестиций, говорит Константин Виноградов, генеральный партнер Runa. По его словам, около трети всех компаний, включенных в индекс с момента его запуска в 2020 году, провели последующие раунды финансирования в течение следующих 12 месяцев.

Со временем метрики могут себя изжить, говорит Стюарт Гейгер, доцент Калифорнийского университета в Сан-Диего. По его словам, два «закона», приписываемые социологам, объясняют почему: чем больше метрика используется при принятии решений, тем больше ей будут манипулировать (закон Кэмпбелла), и метрика, которая становится целью, перестает быть полезной (закон Гудхарта).

Граница между хитрой стратегией и мошенничеством может быть размытой. «Если компания станет номером один на Product Hunt, разместит это на своем сайте, то, возможно, это увеличит конверсию клиентов», — говорит Виноградов. «Это просто победа в игре? Или это разумная стратегия, ориентированная на бизнес?»

Кевин Чжан, бывший венчурный инвестор, а сейчас создающий собственный стартап, говорит, что звезды Github, похоже, стали целью для предпринимателей, стремящихся произвести впечатление. «Я начал замечать, что основатели стали уделять больше внимания приросту звёзд», — говорит он. «Это всегда вызывает некоторые подозрения, верно? О, может быть, их просто немного подкрутили».

Но Чжан и другие инвесторы говорят, что, хотя манипуляция с такими показателями, как звезды, может помочь стартапу добиться первой встречи с венчурными инвесторами, вряд ли они получат вторую. По словам Чжана, взгляды инвесторов на показатели GitHub изменились в последние годы в результате геймификации и более глубокого понимания рынка открытого исходного кода. Хорошие показатели на GitHub — это один из многообещающих сигналов, но он не является абсолютным признаком успеха, говорят Чжан, Виноградов и Айягари, информация о команде основателей, рынке и многие другие данные учитываются, прежде чем делать инвестиции.

«Принимаем криптовалюты»

Baddhi Shop, интернет-магазин, предлагающий поддельные лайки, запустил свои услуги для GitHub в начале этого года. Он также продает «голоса» на Product Hunt, а также «голоса» подписчиков и просмотры на Kaggle. Когда WIRED отправил сообщения в LinkedIn основателя сайта Наги Дургарао Бадди, пришли ответы, в которых утверждалось, что его бизнес вполне законный.

Когда поступает заказ на звезды GitHub или другой показатель, команда из 11 человек начинает кликать «с разных облачных устройств», — сказал Бадди, добавив, что это не спам, поскольку магазин соблюдает условия обслуживания каждого веб-сайта. GitHub — не самое популярное предложение для манипуляций с метриками, добавил Бадди. По словам Бадди, лайки в Discord, чат-сервисе, популярном среди криптопроектов, заказывают ежедневно, и метрики для 10 других сервисов тоже популярны. Келлин Слоун, представитель Discord, говорит, что создание или продажа фейковых аккаунтов нарушает условия обслуживания, и принимает ответные меры, включая удаление пользователей из сервиса.

Продажа поддельных взаимодействий наиболее распространена на ведущих социальных платформах, таких как Facebook. Появление рынка лайков для небольших, новых сайтов, таких как GitHub и Product Hunt, может быть связано с тем, что основные платформы уделяют всё больше внимания поддельным аккаунтам, говорит Стефано Кресси, исследователь, специализирующийся на дезинформации, поддельных новостях и социальных ботах в Институте информатики и телематики. По его словам, продавцы, возможно, переходят на другие платформы, где легче продолжать свой бизнес.

Есть также свидетельства того, что теперь, когда Интернет занимает центральное место практически во всех сферах человеческой деятельности, онлайн-мошенничество встречается даже в нишевых сообществах. Джастин Холландер, профессор Университета Тафтса недалеко от Бостона, недавно опубликовал исследование, показывающее, что боты Twitter используются для попыток повлиять на городское планирование. Боты были активны в 21 проекте строительства в США, включая стадион SoFi Stadium в Калифорнии и многофункциональные проекты в Атланте.

«Ряд различных общественных организаций и правительственных учреждений использовали ботов», — говорит он. «Нам не удалось найти единственную группу. Похоже, что любая организация, которая подкована и активна в сфере формирования города и участвует в политике, использует ботов». Менцер из Университета Индианы сравнивает широкое использование ботов и фейковых лайков с загрязнением окружающей среды, когда мусора накапливается столько, чтобы похоронить то, что имеет ценность. Он ожидает, что по мере развития технологий ситуация будет ухудшаться. Менцер и его коллеги недавно обнаружили в Твиттере доказательства существования сети ботов на базе ChatGPT, продвигающих криптовалюту.

«И людям и алгоритмам сложно обнаружить фейковые аккаунты», — говорит Менцер. «И ChatGPT с радостью создаст для вас множество фейковых аккаунтов, которые невозможно отличить от настоящих». Генераторы изображений с искусственным интеллектом используются для создания реалистичных и уникальных фальшивых фото профиля, — говорит Менцер, — упраздняя то, что в прошлом было явным указателем на фейковые аккаунты. «Это гонка вооружений, потому что социальные боты становятся все умнее и умнее, изощреннее», — говорит Менцер. Какие бы новые показатели вовлеченности ни появились для программных проектов, компаний или людей, мошенники не отстанут...

Комментарии (8)


  1. AirLight
    24.10.2023 16:30
    +1

    Напрашивается мысль, что в плане расстановки звезд у каждого аккаунта должен быть рейтинг, от которого будет зависеть вес этой самой звезды.


    1. eee
      24.10.2023 16:30

      Если у звёзд будет вес, то зарабатывать начнут пользователи.


  1. Dark_zarich
    24.10.2023 16:30

    Есть спрос, есть предложение. Есть скрипты, которые активность накручивают по всем дням. Теперь вот звёздочки можно купить. А код для портфолио может накидать ChatGPT.


    1. evil_HFT Автор
      24.10.2023 16:30
      +1

      Да, есть ещё скрипты, которыми можно на графике активности в гитхабе «накоммитить» любую картинку (или фразу), но это только для шуток и понтов, а не для манипулирования рейтингами.


  1. gmtd
    24.10.2023 16:30

    Прочитал про "детектор Dagster" поддельных GitHub звезд, но не нашел ничего такого на их сайте.

    Как можно проверить какой-то GitHub проект на подозрительную популярность?


    1. evil_HFT Автор
      24.10.2023 16:30

      1. gmtd
        24.10.2023 16:30

        Слишком мудрёно. Я думал, онлайн сервис есть такой...


    1. gun_dose
      24.10.2023 16:30

      Вообще не надо смотреть на звёздочки. Смотрите issue трекер. В действительно популярном проекте будет много issues (закрытые тоже надо смотреть). Плюс смотреть, чтобы в каждом issue был реальный диалог пользователей.