警惕开源项目PakePlus:一个正在偷取你GitHub token自动star fork的开源项目

PakePlus作者自爆开源项目被要求改名字

v2exPakePlus的作者自爆被Pake作者要求自己项目改名字

说禁止PakePlus蹭流量

本来以为只是简单的名字和推广问题,谁知道项目不仅蹭热度,还要偷用户的 token

虚假的热度

点击查看PakePlus主页看到比较多的starissues

以为项目有一些热度

但是有意思的是来了

star 5.6k

fork 3.6k

但是贡献者却只有7个

issues也比较多,以为是大家很关心项目,有很多项目的问题需要咨询

然后打开issues就发现不对劲

全是用户的build success

初步怀疑是项目利用用户github账号自动跑的issues,目的是为了刷活跃度

引诱用户填写token

sjj1024.github.io/PakePlus/zh...

偷偷自动使用用户token star

偷到用户的github token

会在项目中通过api调用自动starfork作者的三个项目

github.com/Sjj1024/Pak...

这也就解释的通了为什么贡献者这么少

但是starfork这么多的原因

明明没有没有token说明却指责用户不看文档

被网友爆料后,该作者随后偷偷添加了github token的使用说明

然后指着网友不看文档

被偷走token的用户如何处理

如果您曾使用PakePlus,建议立即采取以下措施:

  1. 撤销 GitHub token:登录 GitHub,进入"设置" > "开发者设置" > "个人访问令牌",删除与 PakePlus 相关的 token。
  2. 检查账户活动:查看您的 GitHub 账户是否有异常点赞、关注或仓库活动。
  3. GitHub 举报:通过 PakePlus 仓库页面或 Sjj1024 用户页面的"Block or Report"功能,提交"垃圾邮件或不真实活动"举报

恶行

信任的背叛:对开源核心原则的践踏

  • 透明原则: 开源建立在透明的基础上。PakePlus 隐藏其恶意行为,并在被揭露后才添加欺骗性的免责声明,这违背了透明原则

  • 用户同意与自主原则: 道德的开源实践尊重用户。PakePlus 未经清晰、主动和预先的同意,就代表用户执行操作,剥夺了用户的自主权 。在文档文件中深藏的一句话,并不构成知情同意。

  • 社区协作原则: 该项目的行为是榨取性的,而非协作性的。它获取用户凭证,并以牺牲用户安全和意愿为代价,换取虚高的指标,损害了整个社区的健康 。

明确的违规行为:PakePlus与GitHub的可接受使用政策

  • 禁止排名滥用: GitHub的可接受使用政策明确禁止"自动化的过度批量活动和协同的非真实活动",并特别将**"排名滥用,例如自动加星或关注"**列为违规行为 。

  • 禁止非真实互动: 该政策还禁止"非真实的互动,例如虚假账户和自动化的非真实活动" 。强迫用户账户执行自动化的、非自愿的互动,完全符合这一规定。

总结

本身开源项目有些需要star才给文档就已经被不少用户吐槽了

PakePlus项目倒好

直接用的github token偷偷给他的三个项目进行starfork

并且每一次build的结果都会发一次issue

PakePlus的自动Star机制是一种"内部"的虚假Star生成方式。它不是从第三方服务购买Star,而是强迫其用户提供Star,达到了同样具有欺骗性的结果。

PakePlus 模式中,每个Star的边际成本为零,其"成本"由用户以其令牌和同意权的形式承担。

这种模式随着用户的增长而扩展,每个新用户都成为网络中的一个节点,放大了该项目的虚假人气。

这创造了一个欺骗性的正反馈循环:虚假的人气吸引了真实的用户,而真实用户的加入又产生了更多的虚假人气。

这种模式比一次性购买虚假Star要危险得多,也更具扩展性

目前PakePlus作者还在义愤填膺的与人大战

认为自己并没有什么过错

参考

相关推荐
xiangzhihong87 小时前
Figma 开源替代品 Penpot 安装与使用
开源·figma
魔乐社区17 小时前
OpenAI重新开源!gpt-oss-20b适配昇腾并上线魔乐社区
人工智能·gpt·深度学习·开源·大模型
智能物联实验室17 小时前
如何低门槛自制Zigbee 3.0温湿度计?涂鸦上新开发包,开箱即用、完全开源
嵌入式硬件·开源·硬件工程
SelectDB1 天前
谁才是多快好省的数据分析选择:SelectDB vs. ClickHouse vs. Snowflake
开源
CoderJia程序员甲2 天前
GitHub 热榜项目 - 日榜(2025-08-21)
ai·开源·github·ai编程
京东零售技术2 天前
手把手带你用 OxyGent 实现智能体的构建、部署与进化
开源
skywalk81632 天前
设计简洁的Ansible:目前非常流行的开源配置管理和自动化工具
开源·自动化·ansible
猫头虎2 天前
开源协议区别与限制详解:Fork、改名、再发布是否合法?(MIT、Apache、GPL、BSD、SSPL、BSL)
git·开源·github·apache·开源软件·开源协议·gitcode
Hello123网站2 天前
Qwen2-阿里云最新发布的通义千问开源大模型
阿里云·开源·云计算·ai工具