211K звёзд и запах жареного

OpenClaw взлетел на вершину GitHub Trending как ракета. За неделю — 211 тысяч звёзд. Для контекста: у Linux kernel их около 150K. Первая реакция сообщества? Восторг. Вторая — паранойя. Такого не бывает. Это как если бы ваш пет-проект на выходных обогнал по популярности React.

Звёзды на GitHub — не просто лайки. Это валюта доверия, сигнал для инвесторов, маркер для хедхантеров. Накрученные звёзды искажают всю экосистему. Они выталкивают честные проекты из поиска, манипулируют алгоритмами рекомендаций. Кто-то должен был это проверить. Мы это сделали.

Почему стандартные метрики врут

Посмотреть на график звёзд в Star History — бесполезно. Он покажет красивый hockey stick рост. GitHub Insights? Тоже поверхностно. Нужно смотреть глубже — на уровень отдельных аккаунтов, временных меток, паттернов поведения.

На 01.03.2026 GitHub так и не внедрил надёжную встроенную защиту от накрутки звёзд. Всё держится на rate limits и репортах сообщества. Этого недостаточно.

Наш подход: Forensic-анализ с кувалдой

Мы не верим в красивые графики. Мы верим в сырые данные. Наша методология — это три слоя: массовый сбор через API, обогащение метаданных, статистический и кластерный анализ. Вот как это работает.

1Добываем OAuth токены как профессионалы

Один токен — 5000 запросов в час. Для 211K звёзд нужно больше. Создаём 10 OAuth-приложений в настройках разработчика GitHub. Каждое получает свой Client ID и Secret. Автоматизируем процесс получения токенов.

# Пример получения токена для одного приложения (Python)
import requests

CLIENT_ID = 'ваш_client_id'
CLIENT_SECRET = 'ваш_secret'

def get_oauth_token():
    auth = requests.auth.HTTPBasicAuth(CLIENT_ID, CLIENT_SECRET)
    response = requests.post('https://api.github.com/oauth/token',
                            auth=auth,
                            json={'scopes': ['public_repo']})
    return response.json().get('access_token')

# Собираем токены в список
tokens = [get_oauth_token() for _ in range(10)]
# Используем round-robin для балансировки нагрузки

💡

Не используйте личный токен с полным доступом (repo, user). Создавайте приложения с минимальными scope (только public_repo). Если один токен скомпрометирован — вы отзываете одно приложение, а не всю свою учётку.

2GraphQL batch enrichment — магия эффективности

REST API GitHub для звёзд — это ад пагинации. GraphQL решает проблему. Один запрос может получить до 100 звёзд с данными о пользователе. Но нам нужно 211 тысяч. Решение — батчинг и параллельные запросы.

// Пример GraphQL запроса для получения звёзд с курсором
query GetStars($owner: String!, $name: String!, $cursor: String) {
  repository(owner: $owner, name: $name) {
    stargazers(first: 100, after: $cursor) {
      edges {
        starredAt
        node {
          login
          createdAt
          followers {
            totalCount
          }
          repositories {
            totalCount
          }
          // Другие поля для анализа
        }
      }
      pageInfo {
        endCursor
        hasNextPage
      }
    }
  }
}

Мы написали скрипт, который использует все 10 токенов, разбивает запросы на батчи и агрегирует данные в PostgreSQL. Ключевые поля для анализа: starredAt (точное время), user.createdAt (возраст аккаунта), followers, repositories.

3Чистим данные и ищем аномалии

Сырые данные — это хаос. Наводим порядок. Вот на что мы смотрели:

Временные кластеры: Звёзды, поставленные в одну и ту же секунду или минуту. Органический рост имеет шум.
Аккаунты-зомби: Созданы в один день, 0 followers, 0 репозиториев, пустые биографии.
География IP: (Да, мы проверяли публичные события через API, где это возможно). Кластеры из одной подсети.
Паттерн имен: user_23145, bot_kit_xxx. Генерация по шаблону.

Показатель	Органический рост	Накрутка (боты)
Звёзд в час (пик)	100-500	5000+
Возраст аккаунтов	Разброс (от дней до лет)	Кластер (созданы в одну дату)
Followers/репозитории	Разные, есть активность	Нулевые или минимальные

Что мы нашли в OpenClaw

Картина была ясной. Из 211 тысяч звёзд примерно 68% показали как минимум два красных флага из нашей таблицы.

Час X: 14 марта 2026 года, между 03:00 и 04:00 UTC, на репозиторий упало 42 тысячи звёзд. Среднее время между звёздами — менее 100 миллисекунд. Так не ставит даже фанатик с макросом.
Армия новобранцев: 89 тысяч аккаунтов были созданы в течение 48 часов перед этим "часом X". У 95% из них не было ни одного собственного репозитория.
Тишина после бури: После этого всплеска активность по звезде упала до обычного уровня. Как будто кран включили и выключили.

Это не было органическим виральным ростом. Это была спланированная кампания. Любопытно, что аналогичные аномалии мы позже находили и у других AI-агентов, например, при анализе инцидента, описанного в статье про взлом Cline через npm. Проблема системная.

Ошибки, которые вас затормозят

Повторяя наш анализ, не наступайте на эти грабли.

Ошибка 1: Игнорирование задержек. Не пилите API без пауз. Даже с 10 токенами вы получите 429 Too Many Requests. Добавляйте случайные sleep (0.5-2 сек) между батчами.

Ошибка 2: Наивные критерии ботов. Не все старые аккаунты — реальные люди. Их могли купить или взломать. Не все новые аккаунты — боты. Смотрите на совокупность признаков.

Ошибка 3: Отсутствие верификации. Нашли кластер подозрительных аккаунтов? Проверьте их активность на других репозиториях. Используйте GitHub Search API с ограничениями.

И главное — не публикуйте сырые логин-аккаунтов. Это нарушает ToS GitHub и может быть расценено как доносительство. Работайте с агрегированной статистикой.

Что дальше? GitHub и война с накруткой

Наш анализ показал дыру в системе доверия GitHub. Пока звёзды остаются главной метрикой, накрутка будет процветать. Решения есть, но они сложные.

Весомость звёзд: Звезда от аккаунта с 100 собственными репозиториями и 5-летней историей должна весить больше, чем звезда от аккаунта-пустышки. GitHub молчит об этом.
Прозрачность алгоритмов: Как Trending, Discover и Search ранжируют проекты? Неизвестно. Это чёрный ящик.
Инструменты для модераторов: Почему нет встроенного в Insights дашборда с подозрительными паттернами? Приходится городить свой, как мы.

Пока GitHub не починит свою систему, ответственность ложится на сообщество. Используйте методологии, подобные нашей, чтобы проверять проекты, в которые вы вкладываетесь. Особенно в хайповой сфере AI-агентов, где конкуренция за внимание — война на истощение. Помните, что популярный проект — не всегда качественный. Иногда за красивой цифрой скрывается армия ботов, а в коде — уязвимости, как в случае с утечками данных через prompt injection в OpenClaw.

Правда ли, что...

...этот анализ нарушает правила GitHub?

Нет, если вы используете публичное API с аутентификацией, соблюдаете rate limits и не совершаете действий от имени пользователей (вроде автоматической постановки/снятия звёзд). Сбор агрегированной статистики для research — в рамках допустимого.

...GitHub удаляет накрученные звёзды?

Редко и выборочно. Обычно после массовых репортов или громких скандалов. Процесс не автоматизирован и непрозрачен. Не рассчитывайте, что платформа сделает всю работу за вас.

...можно защитить свой репозиторий от накрутки?

Прямой защиты нет. Косвенно — поддерживайте честное сообщество, не участвуйте в схемах "звёзда за звёзду". Если видите подозрительный всплеск — можете проанализировать его нашей методологией и отправить отчёт в GitHub Support с приложением данных.

Итог печален. 211 тысяч звёзд OpenClaw — это не триумф open-source, а симптом болезни. Болезни, где метрика важнее сути. Но пока есть те, кто копает глубше API и красивых графиков, у системы есть шанс на исправление. Начните с анализа проекта, который вызывает у вас сомнения. Данные никогда не лгут. Люди — да. Боты — тем более.

Подписаться на канал

Forensic-анализ 211K звёзд OpenClaw на GitHub: методология выявления накрутки и работа с API