423个仓库被同一批bot攻击，GitHub上的差评水军到底什么来头

那天晚上我刷GitHub的时候，偶然发现一个挺有意思的项目——ai-agents-from-zero，点进去一看Issue区直接给我整不会了。短短半个小时，至少423个中国开源仓库的Issue区被同一批账号攻陷，话术一模一样，全在质疑你的Star数据是不是刷的。说实话这场面我头一回见，搞得跟有组织的水军出征似的。

这些bot到底说了啥

我翻了一圈那些Issue下面的留言，翻来覆去就那几句：”说实话，被震撼到了””今天的假Star明天就是你的黑历史””可惜了，本来可以好好发展的（附数据）”。乍一看像是热心网友善意提醒，但你仔细品品那个腔调，满满的英译中味道。”说实话被震撼到了”就是Honestly I was shocked的直译，”叹气（附数据）”对应的就是Sigh with data。说白了这不是中国人在说中国话，这是机器翻译在替你说话，而且是很烂的那种机翻。

到底谁干的

有意思的是攻击发生在北京时间深夜十一点多，换成美国东部是上午十点左右，换成欧洲是下午。表面上看哪个时区都说得通，但专挑中文项目这一手暴露了对国内开源圈的熟悉程度。我个人倾向于认为这是国人黑产装老外的把戏，凌晨搞攻击也符合夜猫子作息。当然也不能完全排除有境外团队雇了国内”线人”的可能性，毕竞423个仓库的批量规模，不是一两个人能搞定的。

维护者该怎么应对

如果你自己的项目也被这种bot光顾了，其实处理方式不复杂。赶紧截图固证、复制Issue链接，然后通过GitHub官方渠道举报这些账号，剩下的恶意Issue直接删掉或关闭就行。千万别跟bot争论，你越回它越来劲。不过说实话，目前这种纯靠语言指纹来判断身份的方法局限性很大，下次攻击要是用GPT写更地道的中文，你还分辨得出来吗？

下载链接：https://pan.quark.cn/s/64277de55392

GitHub 项目地址：https://github.com/didilili/ai-agents-from-zero