Il mercato nero di GitHub che aiuta i programmatori a barare nel concorso di popolarità
Il mercato nero di GitHub che facilita la frode dei programmatori nel concorso di popolarità
Github ha consolidato il suo status di migliore amico del programmatore combinando strumenti per la gestione del software con funzionalità di collaborazione che creano una sorta di social network per gli esperti di codice. Il suo successo ha portato a un aspetto meno gradito delle piattaforme social: un mercato nero di engagement falso.
Un ecosistema di negozi online e gruppi di chat vendono apertamente stelle di GitHub, che gli utenti assegnano per segnalare interesse in un progetto e che possono essere conteggiate per stabilire il più popolare. Per il prezzo conveniente di $6 pagati in ether, il token criptovalutario della blockchain Ethereum, ENBLE ha acquistato 50 stelle per un progetto GitHub inattivo tramite il sito dal nome esplicito BuyGithub.com. Le false certificazioni sono apparse in poche ore.
Le stelle ombrose in vendita fanno parte di un mercato nero più ampio di metriche di engagement online utilizzate da programmatori, investitori e altri nel settore tecnologico per evidenziare programmatori e startup promettenti quando si decide chi assumere, per chi lavorare o in chi investire.
I negozi online offrono anche upvote per i progetti elencati su Product Hunt, la piattaforma comunitaria che promette di aiutare le persone a scoprire la prossima grande novità nel campo tecnologico prima di tutti gli altri, e follower e visualizzazioni sulla community di Data Science Kaggle, dove distinguersi può portare a offerte di lavoro. I venditori sembrano puntare sull’ambizione e forse sulla disperazione delle persone in cerca di scorciatoie verso il successo in un settore talvolta associato al mantra “fingi finché ce la fai”.
“Quasi tutte le manipolazioni online consistono nel dirottare l’attenzione per fare soldi: acquisire attenzione per poi trasformarla in denaro o potere”, afferma Filippo Menczer, direttore dell’Osservatorio sui Social Media dell’Università dell’Indiana. “GitHub non fa differenza. È un mercato dell’attenzione perché ci sono meccanismi attraverso i quali le persone acquisiscono notorietà, influenza e reputazione in base alla popolarità o all’uso diffuso del loro software”.
- Acquista lo Shark Speedstyle al prezzo più basso
- I modi più efficaci per potenziare la tua azienda con l’AI
- Okta subisce una violazione di sicurezza – gli hacker ottengo...
Fraser Marlow, responsabile della crescita per la startup di orchestrazione dei dati Dagster, è incappato nel mercato del “gaming” di GitHub l’anno scorso dopo aver notato che gli investitori sembravano usare le stelle sulla piattaforma come segnale che una soluzione open source aveva successo.
Il suo team ha acquistato stelle da due diversi negozi online e ha utilizzato i dati raccolti nel processo per costruire un modello per rilevare le stelle false nei repository di GitHub. Hanno testato il modello nel repository del codice di Dagster e in diversi altri.
Il progetto di criptovaluta Okcash è risultato il peggiore: il 97% delle sue 759 stelle è stato segnalato come falso dal detector di Dagster. Nel frattempo, solo l’1,6% delle 29.435 stelle è stato segnalato come falso per Apache Airflow, un progetto open source che compete con Dagster. L’analisi è stata limitata alle stelle ottenute dal 2022 in poi; Astronomer, che gestisce la comunità dietro Apache Airflow, ha rifiutato di commentare.
Oktoshi San, fondatore di Okcash, sostiene che il suo progetto non si interessa delle metriche di vanità, come le stelle e i fork, ma che alcuni membri della comunità hanno avviato giveaway invitando le persone a dare una stella al progetto su GitHub in cambio di token Okcash.
Le scoperte di Dagster si basano su lavori precedenti, tra cui un articolo di ricerca accademica che ha identificato più di 63.000 account sospetti di aver assegnato stelle dubbie attivi su GitHub tra il 2015 e il 2019. I risultati sono stati ottenuti analizzando i dati dei venditori di stelle sull’app di messaggistica Telegram e sulle piattaforme di messaggistica cinesi WeChat e QQ.
“GitHub Security è consapevole della presenza di starrer falsi da anni e lavora attivamente per rimuoverli dalla piattaforma,” dice Jesse Geraci, consulente per la sicurezza online dell’azienda. Geraci riconosce che può essere difficile trovare un equilibrio tra la rimozione accurata degli account non autentici e il permesso di operare senza impedimenti a quelli genuini. “Trentatremila account sospetti possono sembrare tanti, ma è una percentuale molto piccola rispetto ai più di 100 milioni di sviluppatori che si trovano su GitHub”, dice Geraci.
Dopo il post sul blog di Marlow riguardo al suo lavoro di tracciamento delle stelle sospette, quasi tutte le stelle che aveva comprato sono scomparse nel giro di una settimana. Anche le stelle acquistate da ENBLE sono state rimosse meno di un mese dopo l’acquisto. Il team anti-abusi di GitHub combina l’indagine manuale con tecniche software per identificare gli account non autentici.
“L’ossessione per le stelle di GitHub mi piace pensare che sia un po’ un effetto residuo dalla bolla ZIRP”, dice Marlow, riferendosi alla politica dei tassi di interesse zero che è stata recentemente terminata negli Stati Uniti. È un argomento di nicchia, qualcosa di cui solo i VC e le aziende si preoccupano, dice, ma nell’ultimo anno ha già notato che le persone ci danno meno peso.
Gli investitori di venture capital sono “difficili” da cercare in startup che cercano investimenti, dice Pratima Aiyagari, partner della società di venture capital Nauta Capital. I progetti open source possono operare per anni senza generare ricavi significativi, dice, quindi gli investitori cercano altri segnali di crescita, tra cui le stelle di GitHub ne sono solo uno. Il successo di aziende come l’azienda di software business Mulesoft e la piattaforma di sviluppo software collaborativo Gitlab ha attirato un forte interesse verso le aziende open source, dice. “I soldi dei VC stanno affluendo nello spazio”.
Per monitorare le startup open source, la società di venture capital Runa Capital ha creato l’indice ROSS, che classifica le aziende in base al tasso di crescita annualizzato delle stelle di GitHub. È diventato un punto di riferimento ampiamente seguito per prodotti open source in rapida crescita.
L’indice è un buon indicatore di quando un’azienda raccoglierà una nuova serie di finanziamenti, afferma Konstantin Vinogradov, socio generale di Runa. Circa un terzo di tutte le aziende elencate nell’indice dal suo lancio nel 2020 ha raccolto finanziamenti successivi entro i 12 mesi successivi, afferma.
Nel tempo, le metriche possono invalidare se stesse, afferma Stuart Geiger, professore assistente presso l’UC San Diego. Dice che due “leggi” attribuite agli scienziati sociali spiegano perché: più una metrica viene utilizzata nel processo decisionale, più sarà manipolata (legge di Campbell), e una metrica che diventa un obiettivo smette di essere utile (legge di Goodhart).
La linea tra una strategia intelligente e il barare può essere sfumata. “Se un’azienda diventa la numero uno su Product Hunt, lo mettono sul loro sito web, forse aumenterà il tasso di conversione per i clienti”, dice Vinogradov. “Stanno solo vincendo il gioco? O è una strategia aziendale ragionevole?”
Kevin Zhang, un ex investitore di venture capital che sta costruendo la propria startup, dice che le stelle di GitHub sembrano essere diventate un obiettivo per gli imprenditori che cercano di impressionare. “Ho notato che i founder stavano mettendo sempre più crescita delle stelle nelle loro presentazioni,” dice. “Questo ti fa sospettare, no? Oh, forse è un gioco truccato”.
Ma Zhang e altri investitori dicono che, sebbene manipolare una metrica come le stelle possa aiutare una startup a ottenere un primo incontro con i VC, è improbabile che gli garantirà un secondo. Le prospettive degli investitori sulle metriche di GitHub sono cambiate negli ultimi anni a causa della gamification e una comprensione maggiore del mercato open source, dice Zhang. Un buon coinvolgimento su GitHub è un segnale promettente, ma non è un segno infallibile di successo, dicono Zhang, Vinogradov e Aiyagari, con l’informazione sul team fondatore, il mercato e molti altri dati presi in considerazione prima di effettuare un investimento.
Baddhi Shop, un negozio online che offre metriche non autentiche, ha lanciato i suoi servizi su GitHub all’inizio di quest’anno. Vende anche voti su Product Hunt, oltre a voti, follower e visualizzazioni su Kaggle. Quando ENBLE ha inviato messaggi all’account LinkedIn del fondatore del sito, Naga Durgarao Baddhi, le risposte sostenevano che l’attività era legittima.
Quando arriva un ordine per gli ‘GitHub star’ o un’altra metrica, un team di 11 persone inizia a cliccare, “da diversi dispositivi cloud”, ha detto Baddhi, aggiungendo che non si tratta di spam perché il negozio rispetta i termini di servizio di ogni sito web. Baddhi ha aggiunto che GitHub non è l’offerta di cheating-metrica più popolare. Discord, un servizio di chat popolare tra i progetti crypto, riceve acquisti giornalieri e le metriche di altri 10 servizi sono anche popolari, dice Baddhi. Kellyn Slone, portavoce di Discord, afferma che creare o vendere account falsi viola i suoi termini di servizio e prende provvedimenti in risposta, incluso rimuovere gli utenti dal servizio.
La vendita di interazioni false è nota principalmente sulle principali piattaforme social come Facebook. L’emergere di un mercato per siti più piccoli e più recenti come GitHub e Product Hunt potrebbe essere dovuto al fatto che le piattaforme mainstream prestano sempre più attenzione agli account falsi, secondo Stefano Cresci, ricercatore specializzato in disinformazione, fake news e social bots presso l’Istituto di Informatica e Telematica, parte del Consiglio Nazionale delle Ricerche, a Pisa, Italia. I venditori potrebbero spostarsi su altre piattaforme dove è più facile continuare l’attività, dice.
C’è anche evidenza che, ora che la vita online è centrale in quasi ogni ambito dell’attività umana, l’inganno online si verifica anche nelle comunità di nicchia. Justin Hollander, professore presso la Tufts University, vicino a Boston, ha recentemente pubblicato una ricerca che mostra l’utilizzo di bot di Twitter per cercare di influenzare la pianificazione urbana. I bot erano attivi in 21 progetti immobiliari negli Stati Uniti, compreso lo sviluppo del SoFi Stadium in California e progetti misti ad Atlanta.
“Una serie di diverse organizzazioni comunitarie e agenzie governative utilizzavano bot”, dice. “Non siamo riusciti a trovare un solo gruppo. Sembra che qualsiasi entità che sia esperta e attiva in questo spazio che plasmi la città e sia coinvolta in queste aree di politica, stia utilizzando bot.”
Menczer dell’Indiana University paragona l’ampio utilizzo di bot sociali e interazioni false agli effetti dell’inquinamento, con rifiuti che si accumulano per seppellire ciò che ha valore e qualità. Si aspetta che peggiori con l’avanzare della tecnologia. Menczer e colleghi hanno recentemente trovato prove di una rete di bot che promuove criptovalute su Twitter, alimentata da ChatGPT.
“È difficile per gli esseri umani e difficile per il software rilevare gli account falsi”, dice Menczer. “E ChatGPT creerà volentieri molti account falsi che sono impossibili da distinguere da quelli reali.” I generatori di immagini AI vengono utilizzati per generare immagini profilo finte realistiche e uniche, afferma Menczer, eliminando quello che in passato era spesso un modo evidente per identificare gli account falsi.
“È una corsa agli armamenti perché i bot sociali diventano sempre più intelligenti, più sofisticati”, dice Menczer. Qualsiasi nuova metrica di coinvolgimento che emerge per i progetti software, le aziende o le persone, gli scammers non saranno lontani.”
