# Gefälschte GitHub-Stars: Wie der Schattenmarkt Open-Source-Metriken verzerrt
Risikokapital-Geber stoßen in den letzten Jahren auf eine wachsende GitHub-Star-Inflation: Es braucht inzwischen mehrmals so viele Stars, um Aufmerksamkeit zu erregen wie früher. Eine Studie aus den Jahren 2019–2024 deckte 6 Millionen gefälschte Stars in 18.000 Repositories auf, wobei die Boosting-Aktivitäten seit 2022 stark zugenommen haben. Heute zeigen eines von sechs schnell wachsenden Open-Source-Projekten Anzeichen künstlich aufgeblähter Metriken, was die Zuverlässigkeit traditioneller Engagement-Indikatoren untergräbt.
Entwicklung des Schattenmarkts: Von Betrugsprojekten zu KI-Startups
Vor 2022 war Star-Boosting eine Nischenpraxis, die hauptsächlich von Betrugsprojekten wie Warez-Software, Phishing-Tools und Crypto-Bots genutzt wurde. Stars dienten als sozialer Beweis für Legitimität – etwa weckte ein Repo mit 5K Stars bei Nutzern weniger Misstrauen. Doch nach 2022 explodierte der Markt exponentiell, und die Nachfrage verschob sich dramatisch. Blockchain-Startups verloren an Boden gegenüber KI- und LLM-Projekten, bei denen Investoren Stars als zentrales Signalmetrik betrachten.
Datenanalysen zeigen, dass ein Spitzenreiter des ROSS Index – einer Rangliste, auf die Venture-Fonds setzen – rund 47 % verdächtige Stars aufweist. Das birgt systemische Risiken: Investoren treffen Entscheidungen auf Basis manipulierter Daten und zwingen seriöse Projekte, künstlich hohe Hürden zu nehmen. Seed-Phase-Startups ($3–5M-Runden) weisen median 2–3K Stars auf, was Boosting wirtschaftlich attraktiv macht – ein „realistisches“ Booster-Paket kostet 100–2000 $.
Boosting-Mechanismen: Offener Markt und technische Tricks
Der Schattenmarkt agiert offen über Dutzende Websites, Fiverr-Gigs und Telegram-Kanäle. Ein einzelner gefälschter Star kostet 0,03 bis 0,85 $, mit Accounts, die echte Nutzer nachahmen – inklusive Avataren, Bios und Aktivitätsverläufen. Ein typisches Erkennungsmuster: Über 60 % dieser Accounts zeigen fast ausschließlich Sternchen-Aktivitäten ohne echte Projektbeteiligung.
Der Markt gliedert sich in Stufen:
- Basic: Massenaccounts mit minimaler „legitimer“ Historie (0,03–0,25 $/Star)
- Premium: Accounts mit 5-jährigen Commit-Historien und Arctic Code Vault Contributor-Status (5.000 $ pro Account)
- Cross-Platform-Lösungen: Boosting von npm-Downloads via AWS Lambda, VS Code-Extension-Installationen durch Bots
Eine große Gefahr sind Konkurrenzangriffe: Böswillige Akteure können die Stars eines Rivalen boosten, um eine GitHub-ToS-Verletzung vorzutäuschen. Es gibt keine Abwehr – den Ursprung von Stars technisch nachzuweisen ist unmöglich.
Zuverlässige Metriken in einer Ära verzerrter Daten
Bessemer Venture Partners, eines der größten VC-Unternehmen, stuft Stars seit Langem als Vanity-Metriken ein. Stattdessen sollten einzigartige monatliche Mitwirkende (Nutzer, die Issues, PRs oder Commits erstellen) beobachtet werden. Eine Schwelle von 250+ aktiven Teilnehmern monatlich filtert weniger als 5 % der Top-10K-Repos heraus und identifiziert präzise gefragte Projekte.
Für schnelle externe Checks diese Verhältnisse nutzen:
- Forks zu Stars: Gesunde Projekte zeigen 15–25 % Forks im Verhältnis zu Stars (z. B. 235 Forks pro 1.000 Stars). Unter 5 % ist ein Warnsignal.
- Watchers zu Stars: Anomalien treten unter 1 Watcher pro 1.000 Stars auf (wie im Studien-Repo: 157K Stars und 168 Watchers).
GitHub räumt periodisch in Wellen gefälschte Accounts aus, was Stars bei geboosteten Projekten einbrechen lässt. Der Markt entwickelt sich jedoch schneller als Erkennungstools – Boosting bleibt immer einen Schritt voraus.
Regulatorischer Druck und die Zukunft der Metriken
Seit Oktober 2024 verbietet die FTCs Consumer Review Rule in den USA den Kauf oder Verkauf gefälschter Social Proofs, mit Strafen bis zu 53K $ pro Verstoß. Ursprünglich auf Amazon- und Google-Maps-Bewertungen abzielend, fallen GitHub-Stars unter „Social Proof, die kommerzielle Entscheidungen beeinflusst“. Noch keine Open-Source-Fälle, doch Anwälte erwarten eine Ausweitung innerhalb von 1–2 Jahren.
Dieser Paradox entsteht: Regulatoren zielen auf Metriken ab, denen Investoren bereits misstrauen. VCs bauen alternative KPIs auf wie Commit-Tiefe, Geografie der Mitwirkenden und Issue-Lösungsraten. Der Wechsel zu neuen Metriken braucht jedoch Zeit und lässt den Markt in der Schwebe.
Wichtige Erkenntnisse
- GitHub-Star-Inflation hat kritische Werte erreicht: 16,7 % der schnell wachsenden Projekte nutzen Boosting.
- Watchers-zu-Stars unter 0,1 % und Forks-zu-Stars unter 5 % deuten auf gefälschte Metriken hin.
- Einzigartige monatliche Mitwirkende (250+) bieten die manipulationssicherste Engagement-Messgröße.
- Stars kaufen verstößt gegen GitHub-Regeln und birgt Ban-Risiken, doch Ursprünge nachzuweisen ist technisch schwierig.
— Editorial Team
Noch keine Kommentare.