Thị Trường Đen GitHub Hỗ Trợ Lập Trình Viên 'Lừa Đảo' Cuộc Thi Phổ Biến

Github đã củng cố vị trí là người bạn tốt nhất của lập trình viên bằng cách kết hợp các công cụ quản lý phần mềm với các tính năng cộng tác tạo ra một loại mạng xã hội cho những người hiểu về mã nguồn. Sự thành công của nó đã khiến nó nắm giữ một đặc điểm không mong muốn trên các nền tảng xã hội: thị trường đen của các tương tác giả mạo.

Một hệ sinh thái của các cửa hàng trực tuyến và nhóm trò chuyện công khai bán các sao trên GitHub, mà người dùng trao tặng để thể hiện sự quan tâm đối với một dự án và có thể được tích hợp để xếp hạng phổ biến nhất. Với giá rẻ chỉ 6 đô la thanh toán bằng ether, token tiền điện tử của chuỗi khối Ethereum, MYTOUR đã mua 50 sao cho một dự án GitHub không hoạt động thông qua trang web có tên rất rõ BuyGithub.com. Những đánh giá giả mạo xuất hiện chỉ trong vài giờ.

Những ngôi sao đen lạ lùng được bán là một phần của một thị trường đen lớn hơn về các chỉ số tương tác trực tuyến được sử dụng bởi lập trình viên, nhà đầu tư và những người khác trong ngành công nghiệp công nghệ để làm nổi bật các lập trình viên và startup triển vọng khi quyết định tuyển dụng, làm việc hoặc đầu tư.

Các cửa hàng trực tuyến cũng cung cấp upvotes cho các dự án được liệt kê trên Product Hunt, nền tảng cộng đồng hứa hẹn giúp mọi người khám phá điều lớn lao tiếp theo trong công nghệ trước mọi người khác, và người theo dõi cũng như lượt xem trên cộng đồng khoa học dữ liệu Kaggle, nơi nổi bật có thể dẫn đến các cơ hội việc làm. Các nhà cung cấp dường như đang nhắm đến lòng tham và có lẽ là sự tuyệt vọng của những người đang tìm kiếm một lối tắt đến thành công trong một ngành công nghiệp đôi khi được liên kết với khẩu hiệu 'giả mạo cho đến khi bạn thành công.'

“Hầu hết mọi hình thức thao túng trực tuyến đều là một dạng nào đó của chiếm lấy sự chú ý với mục đích kiếm tiền—đạt được sự chú ý và sau đó biến nó thành tiền hoặc quyền lực,” nói Filippo Menczer, giám đốc của Observatory on Social Media tại Đại học Indiana. “GitHub cũng vậy. Đó là một thị trường chú ý vì có các cơ chế mà người ta có được sự nổi tiếng và ảnh hưởng và danh tiếng thông qua sự phổ biến hoặc sự sử dụng rộng rãi của phần mềm của họ.”

Fraser Marlow, trưởng phòng phát triển của công ty khởi nghiệp quản lý dữ liệu Dagster, bất ngờ bước vào thị trường chơi GitHub năm ngoái sau khi nhận thấy rằng các nhà đầu tư dường như sử dụng sao trên nền tảng này như một tín hiệu cho thấy một ứng dụng mã nguồn mở đã có động lực.

Đội ngũ của anh ấy đã mua sao từ hai cửa hàng trực tuyến khác nhau và sử dụng dữ liệu thu thập được trong quá trình để xây dựng một mô hình để phát hiện sao giả mạo trong các kho lưu trữ GitHub. Họ chạy mô hình trên kho lưu trữ mã nguồn của Dagster cũng như một số kho lưu trữ khác.

Dự án tiền điện tử Okcash là tội phạm kinh khủng nhất: 97% trong số 759 sao của nó đã bị đánh dấu là giả mạo bởi máy phát hiện của Dagster. Trong khi đó, chỉ có 1,6% trong số 29,435 sao đã bị đánh dấu là giả mạo cho Apache Airflow, một dự án mã nguồn mở cạnh tranh với Dagster. Phân tích được giới hạn chỉ đến sao được đạt được từ năm 2022 trở đi; Astronomer, động lực hàng đầu cho cộng đồng Apache Airflow, từ chối bình luận.

Người sáng lập Okcash, Oktoshi San, cho biết dự án của ông ấy không quan tâm đến các chỉ số hão nhoán—như sao và forks—nhưng một số thành viên cộng đồng đã tổ chức các sự kiện tặng quà mời mọi người đánh giá dự án trên GitHub để đổi lấy token Okcash.

Các khám phá của Dagster dựa trên công việc trước đó, bao gồm một bài báo của các nghiên cứu viên học thuật đã xác định hơn 63,000 tài khoản nghi ngờ đã trao sao nghi ngờ hoạt động trên GitHub từ năm 2015 đến 2019. Các kết quả được đạt được bằng cách phân tích dữ liệu từ những người bán sao trên ứng dụng nhắn tin Telegram và các nền tảng nhắn tin Trung Quốc như WeChat và QQ.

“GitHub Security đã biết về sự hiện diện của người trao sao giả mạo từ nhiều năm trước và tích cực làm việc để loại bỏ chúng khỏi nền tảng,” nói Jesse Geraci, người đại diện an toàn trực tuyến của công ty. Geraci nhận thức rằng việc đạt được sự cân bằng giữa việc loại bỏ chính xác các tài khoản giả mạo trong khi cho phép những tài khoản thực sự hoạt động một cách không bị cản trở có thể là một thách thức. “Sáu mươi ba nghìn tài khoản nghi ngờ có vẻ nhiều, nhưng đó chỉ là một tỷ lệ rất nhỏ so với hơn 100 triệu nhà phát triển đang xây dựng trên GitHub,” Geraci nói.

Sau bài đăng trên blog của Marlow về công việc theo dõi sao nghi ngờ, gần như tất cả các sao mà anh ấy đã trả tiền đã biến mất trong vòng một tuần. Những sao mà MYTOUR mua cũng bị loại bỏ trong vòng không đầy một tháng sau khi mua. Đội ngũ chống lạm dụng của GitHub kết hợp điều tra thủ công với các kỹ thuật phần mềm để xác định các tài khoản không chân thực.

“Sự mê hoặc về sao GitHub tôi nghĩ là một chút say rượu từ bong bóng ZIRP,” Marlow nói, đề cập đến chính sách lãi suất không lãi suất đã kết thúc gần đây ở Mỹ. Đó là một khía cạnh nghề nghiệp—một điều chỉ có các nhà đầu tư và công ty quan tâm, anh ấy nói—nhưng qua năm qua, anh ấy đã nhận thấy mọi người đang đặt ít trọng lượng hơn vào chúng.

Nhà đầu tư rủi ro được “lập trình” để tìm kiếm sự tăng trưởng nhanh chóng trong các startup đang tìm kiếm đầu tư, Pratima Aiyagari, đối tác tại Nauta Capital, nói. Dự án mã nguồn mở có thể hoạt động trong nhiều năm mà không tạo ra doanh thu đáng kể, cô ấy nói, vì vậy nhà đầu tư tìm kiếm các tín hiệu tăng trưởng khác nhau, trong đó các sao GitHub chỉ là một trong số đó. Sự thành công của các công ty như Mulesoft và Gitlab đã thu hút sự quan tâm mạnh mẽ vào các công ty mã nguồn mở, cô ấy nói. “Tiền VC đã đổ vào không gian này.”

Để theo dõi các startup mã nguồn mở, công ty đầu tư Runa Capital đã tạo chỉ số ROSS, xếp hạng các công ty theo tỷ lệ tăng trưởng hàng năm của sao GitHub. Đó đã trở thành một chỉ số theo dõi rộng rãi cho các sản phẩm mã nguồn mở tăng trưởng nhanh.

Chỉ số là một dự đoán tốt về việc một công ty có nâng raund hay không, theo Konstantin Vinogradov, đối tác chung tại Runa. Khoảng một phần ba tất cả các công ty được liệt kê trong chỉ số kể từ khi nó được ra mắt vào năm 2020 đã nâng raund trong vòng 12 tháng tiếp theo, ông nói.

Theo thời gian, các thước đo có thể làm mất giá trị của chúng, Stuart Geiger, giáo sư trợ giảng tại UC San Diego, nói. Anh ấy nói rằng có hai “quy luật” được gắn với các nhà khoa học xã hội làm tổng hợp tại sao: Càng nhiều một thước đo được sử dụng trong quyết định, nó sẽ bị làm giả mạo hơn (Đạo luật Campbell), và một thước đo trở thành mục tiêu sẽ ngừng có ích (Đạo luật Goodhart).

Đường ranh giới giữa chiến lược thông minh và gian lận có thể mơ hồ. “Nếu một công ty trở thành số một trên Product Hunt, họ đặt nó trên trang web của họ, sau đó có thể nó sẽ tăng tỷ lệ chuyển đổi cho khách hàng,” Vinogradov nói. “Đó chỉ là việc chiến thắng trò chơi? Hay là một chiến lược hợp lý, dựa trên kinh doanh?”

Kevin Zhang, một nhà đầu tư rủi ro trước đây giờ đây đang xây dựng công ty khởi nghiệp của mình, nói rằng các sao GitHub dường như đã trở thành một mục tiêu cho các doanh nhân muốn gây ấn tượng. “Tôi bắt đầu nhận thấy rằng các nhà sáng lập đang đặt nhiều vào sự tăng trưởng sao trong bài trình chiếu của họ,” anh ấy nói. “Điều đó luôn khiến bạn nghi ngờ một chút phải không? Oh, có lẽ nó đã được điều chỉnh một chút.”

Nhưng Zhang và các nhà đầu tư khác nói rằng khi chơi một thước đo như sao có thể giúp một startup có cuộc họp đầu tiên với nhà đầu tư rủi ro, khả năng cao không giúp họ có cuộc họp thứ hai. Quan điểm của nhà đầu tư về các thước đo GitHub đã thay đổi trong những năm gần đây do sự trò chơi và sự hiểu biết tăng về thị trường mã nguồn mở, Zhang nói. Tương tác tốt trên GitHub là một tín hiệu hứa hẹn, nhưng không phải là một dấu hiệu chắc chắn về thành công, Zhang, Vinogradov và Aiyagari đều nói, với thông tin về đội ngũ sáng lập, thị trường và nhiều điểm dữ liệu khác được xem xét trước khi đầu tư.

Cửa hàng trực tuyến Baddhi Shop, cung cấp các số liệu giả mạo, đã tung ra dịch vụ GitHub của mình vào đầu năm nay. Nó cũng bán upvotes trên Product Hunt, cũng như upvotes, followers và views trên Kaggle. Khi MYTOUR gửi tin nhắn đến tài khoản LinkedIn của người sáng lập trang web, Naga Durgarao Baddhi, các phản hồi đều khẳng định rằng doanh nghiệp hoạt động một cách chính đáng.

Khi một đơn đặt hàng cho sao GitHub hoặc một thước đo khác đến, một đội ngũ gồm 11 người nhấp chuột, “từ các thiết bị đám mây khác nhau,” Baddhi nói thêm rằng đây không phải là thư rác vì cửa hàng tôn trọng điều khoản dịch vụ của mỗi trang web. GitHub không phải là thước đo giả mạo phổ biến nhất, Baddhi thêm vào. Discord, một dịch vụ phòng chat phổ biến với các dự án crypto, nhận được mua bán hàng ngày, và thước đo của 10 dịch vụ khác cũng phổ biến, Baddhi nói. Kellyn Slone, người phát ngôn cho Discord, nói rằng việc tạo hoặc bán tài khoản giả mạo vi phạm điều khoản dịch vụ của nó và nó sẽ xử lý, bao gồm loại bỏ người dùng khỏi dịch vụ.

Việc bán sự tương tác giả mạo nổi tiếng nhất trên các nền tảng xã hội hàng đầu như Facebook. Sự xuất hiện của một thị trường cho các trang web nhỏ hơn, mới hơn như GitHub và Product Hunt có thể do các nền tảng phổ biến quan tâm nhiều hơn đến tài khoản giả mạo, Stefano Cresci, một nhà nghiên cứu tập trung vào thông tin sai lệch, tin giả và bot xã hội tại Viện Tin học và Viễn thông, thuộc Hội đồng Nghiên cứu Quốc gia, tại Pisa, Italy, nói. Các nhà cung cấp có thể chuyển đến các nền tảng khác nơi việc duy trì kinh doanh dễ dàng hơn, anh ấy nói.

Cũng có bằng chứng cho thấy rằng, bây giờ khi cuộc sống trực tuyến trở thành trung tâm của gần như mọi lĩnh vực của sự cố gắng của con người, gian lận trực tuyến xảy ra ngay cả trong cộng đồng chuyên ngành. Justin Hollander, một giáo sư tại Đại học Tufts, gần Boston, gần đây đã công bố nghiên cứu chỉ ra rằng Twitter bots được sử dụng để cố gắng ảnh hưởng đến quy hoạch đô thị. Bot hoạt động trên 21 dự án bất động sản ở Hoa Kỳ, bao gồm cả việc phát triển SoFi Stadium ở California và các dự án đa dạng ở Atlanta.

“Một loạt các tổ chức cộng đồng và cơ quan chính phủ khác nhau đang sử dụng bot,” ông nói. “Chúng tôi không thể tìm thấy chỉ một nhóm nào. Dường như bất kỳ đơn vị nào thông minh và tích cực trong lĩnh vực này, hình thành thành phố và tham gia vào những lĩnh vực chính sách này, họ đều đang sử dụng bot.”

Menczer của Đại học Indiana ví von việc sử dụng rộng rãi các bot xã hội và tương tác giả mạo như tác động của ô nhiễm, với rác tích tụ để chôn vùi những gì có giá trị và chất lượng. Anh ta dự kiến rằng tình trạng này sẽ trở nên tồi tệ hơn khi công nghệ tiến triển. Menczer và đồng nghiệp gần đây đã tìm thấy bằng chứng về một mạng lưới bot đẩy tiền điện tử trên Twitter được cung cấp bởi ChatGPT.

“Việc phát hiện tài khoản giả mạo là khó khăn đối với con người và khó khăn đối với phần mềm,” Menczer nói. “Và ChatGPT sẽ vui lòng tạo ra rất nhiều tài khoản giả mạo mà không thể phân biệt được với những tài khoản thực sự.” Người tạo hình ảnh AI đang được sử dụng để tạo ra hình đại diện giả mạo sống động và độc đáo, nói Menczer, loại bỏ điều mà trong quá khứ thường là một cách dễ nhận biết tài khoản giả mạo.

“Đó là một cuộc đua vũ trụ vì bot xã hội trở nên thông minh và thông minh hơn, phức tạp hơn,” Menczer nói. Bất kỳ thước đo tương tác mới nào xuất hiện cho các dự án phần mềm, công ty hoặc cá nhân, những kẻ lừa đảo sẽ không xa.

Cập nhật vào ngày 23-10-2023, lúc 3:15 chiều EDT: Nhà thiên văn học là người đóng góp hàng đầu cho cộng đồng Apache Airflow, không phải là người quản lý của nó.