GitHub上423个开源项目被同一批机器人差评攻击,我扒了扒背后的真相
昨晚刷GitHub的时候,看到一个叫 ai-agents-from-zero 的项目Issue区炸了。不是那种正常的技术讨论,而是突然涌进来一批帐号,齐刷刷地指责项目”Star数据造假”。
一开始我还以为是个别用户的行为,结果越看越不对——30分钟之内,423个中国开源项目被同一套话术批量刷屏。这明显是有组织的。
翻译腔
说实话这批Bot的中文水平,一眼就能看出问题。什么”说实话被震憾到了”、什么”可惜了本来可以好好发展的”、什么”叹气(附数据)”。
你把这几句话还原成英文试试?
- “Honestly, I was shocked” → 说实话被震憾到了
- “It’s a pity, it could have developed well” → 可惜了本来可以好好发展的
- “Sigh (with data)” → 叹气(附数据)
这哪是中国人说话,这分明是廉价机翻API的产物。而且连”震憾”这种错别字都一模一样,说明模板就是同一份。我当时就乐了,这活儿干的也太糙了吧。
谁在搞事
我看了原作者的分析,觉得挺有道理,但也有自己的看法。嫌疑人无非三种:
第一种:不懂中文的老外黑产。概率大概三成。但有个矛盾——你一个老外不攻击英文项目,专挑中文项目?你怎么知道哪些是中文仓库?怎么知道”Star造假”在国内开发者圈子里是个敏感话题?除非有”内线”。
第二种:懂英文的国人黑产,故意装老外。我觉得这个可能性最大,至少六成。你看攻击时间是北京时间23:11到23:41,深夜啊。美国那边正好上午,欧洲那边下午,看上去都”合理”。但你专门挑中文项目、用中国开源圈最敏感的”刷星”话题来攻击,这不是对中国生态了如指掌是什么?
而且这招挺阴的——”你看连老外都来质疑你了”,这种”国际舆论压力”的心理战术,会让不少开发者产生自我怀疑。即然你项目没问题,为什么会被人盯上?
第三种:国人黑产单纯懒。概率一成吧。就是英文模板+机翻比写中文模板便宜,一套模板全球通杀。不是想装老外,纯粹是省钱。
应急处理
我自己的建议是四步走:
- 固证——先截图,把Issue链接和Bot主页都记下来
- 举报——走GitHub官方渠道提交滥用报告
- 冷处理——别回复、别争论,直接删掉或关闭
- 限流——Settings里开Interaction limits,限制新帐号互动
千万别跟Bot对线,你越回复它越来劲,算法就吃这套。
小结
这事儿让我感触挺深的。中国开源社区这几年发展很快,但树大招风。这种批量攻击的成本极低,一个机翻API加一批僵尸帐号就能搞起来。而项目维护者要花时间固证、举报、安抚社区,成本完全不对等。
我就想问一句——当攻击成本趋近于零的时候,靠平台和社区自发防御,真的能撑住吗?
参考链接:
