Enthüllt: Die schattenhafte Wirtschaft hinter GitHubs Fake Stars
Eine neue Untersuchung deckt auf, wie Millionen gefälschter Sterne den Open-Source-Markt verfälschen – und was das für KI-Startups bedeutet.
Eine bislang unveröffentlichte Carnegie-Mellon-Studie hat die Dimensionen eines Problems offengelegt, das die Tech-Community seit Jahren beschäftigt: 6 Millionen gefälschte Sterne auf 18.617 Repositories, erzeugt durch 301.000 Accounts. Was als harmloser Marketing-Trick begann, hat sich zu einem professionell organisierten Schattenmarkt entwickelt.
Der Preis einer Glaubwürdigkeit: 0,06 Dollar pro Stern
Der aktuelle Marktpreis für einen GitHub-Stern liegt zwischen 0,03 und 0,85 Dollar. Die Preisspanne spiegelt die Qualität wider: Billige Accounts werden schnell erkannt, Premium-Profile mit Jahre alten Contribution-Graphen kosten das 28-fache. Auf Plattformen wie Fiverr, Telegram und spezialisierten Marktplätzen wie SocialPlug.io oder GitHubPromoter.com lässt sich das „Social Proof“-Paket bequem bestellen.
Besonders brisant: Das System hat direkten Einfluss auf die Venture-Capital-Industrie. Redpoint, eine renommierte VC-Firma, gab an, dass das mediane Sterne-Limit für Seed-Investitionen bei 2.850 liegt. Algorithmen durchsuchen GitHub kontinuierlich nach Repositories mit schnellem Stern-Wachstum. Ein Seed-Runde bringt typischerweise 1 bis 10 Millionen Dollar – die Investition in gefälschte Sterne amortisiert sich schnell.
KI-Repos an der Spitze der Manipulation
Die Studie identifizierte KI- und LLM-Repositorys als die größte nicht-bösartige Kategorie gefälschter Sterne mit 177.000 betroffenen Sternen – mehr als Blockchain- und Krypto-Projekte. Viele davon sind akademische Paper-Repositorys oder Startups, die versuchen, Aufmerksamkeit und Investoren anzuziehen.
Das Problem beschleunigte sich dramatisch im Jahr 2024. Im Juli lagen 16,66% aller Repositories mit 50 oder mehr Sternen in verdächtigen Kampagnen – gegenüber nahezu null vor 2022. 78 manipulierte Repositorys erreichten sogar GitHubs Trending-Liste, was beweist, dass gekaufte Sterne die Discovery-Algorithmen erfolgreich täuschen.
Die DNA gefälschter Sterne
Die Forscher entwickelten ein Werkzeug namens StarScout, das 20 Terabyte GitHub-Metadaten analysierte. Das Ergebnis zeigt ein unverwechselbares Muster manipulierter Accounts:
Organische Repositorys (wie Flask, LangChain, AutoGPT):
- Median-Account-Alter: 8-13 Jahre
- Nur 2-11% der Stargazer haben keine öffentlichen Repositories
- 6-12% haben null Follower
Manipulierte Repositorys:
- Median-Account-Alter: 2,7-3,2 Jahre
- 28-38% haben keine öffentlichen Repositories
- 52-81% haben null Follower
Die Fingerabdrücke sind eindeutig: Gekaufte Accounts sind nicht offensichtlich neu, aber leer. Sie haben Jahre auf GitHub verbracht, ohne je Code zu schreiben oder jemandem zu folgen – ideale Schleier für Stern-Kampagnen.
Rechtliche Konsequenzen
Die FTC erließ 2024 eine Regel, die gefälschte Social-Influence-Metriken verbietet – mit Strafen von 53.088 Dollar pro Verstoß. Die SEC hat bereits Startup-Gründer wegen aufgeblähter Traction-Metriken während Fundraising angeklagt.
Für Entwickler und Unternehmen bedeutet dies: Wer auf gefälschte Sterne setzt, riskiert nicht nur den Ruf, sondern auch rechtliche Schritte. Die 90,42% der von StarScout markierten Repositorys, die bis Januar 2025 gelöscht wurden, zeigen, dass GitHub die Problematik ernst nimmt.
Fazit
Die „Fake Star Economy“ ist ein Symptom eines größeren Problems: Der Druck, in einem überfluteten Markt aufzufallen. Für KI-Startups, die echte Innovation vorweisen können, ist der kurzfristige Vorteil gekaufter Glaubwürdigkeit nicht das Risiko wert. Langfristiger Erfolg baut auf echter Community, nicht auf gekauften Sternen.
Quelle: Basierend auf einer Untersuchung von AwesomeAgents.ai vom 20. April 2026, die Daten einer Carnegie-Mellon-Studie (ICSE 2026) analysiert.
