PakePlus作者自爆开源项目被要求改名字
在v2ex中PakePlus的作者自爆被Pake作者要求自己项目改名字
说禁止PakePlus蹭流量
本来以为只是简单的名字和推广问题,谁知道项目不仅蹭热度,还要偷用户的 token
虚假的热度
点击查看PakePlus主页看到比较多的star和issues
以为项目有一些热度
但是有意思的是来了
star 5.6k
fork 3.6k
但是贡献者却只有7个
issues也比较多,以为是大家很关心项目,有很多项目的问题需要咨询
然后打开issues就发现不对劲
全是用户的build success
初步怀疑是项目利用用户github账号自动跑的issues,目的是为了刷活跃度
引诱用户填写token
偷偷自动使用用户token star
偷到用户的github token后
会在项目中通过api调用自动star和fork作者的三个项目
这也就解释的通了为什么贡献者这么少
但是star和fork这么多的原因
明明没有没有token说明却指责用户不看文档
被网友爆料后,该作者随后偷偷添加了github token的使用说明
然后指着网友不看文档
被偷走token的用户如何处理
如果您曾使用PakePlus,建议立即采取以下措施:
- 撤销 GitHub token:登录 GitHub,进入"设置" > "开发者设置" > "个人访问令牌",删除与 PakePlus 相关的 token。
- 检查账户活动:查看您的 GitHub 账户是否有异常点赞、关注或仓库活动。
- 向
GitHub举报:通过 PakePlus 仓库页面或 Sjj1024 用户页面的"Block or Report"功能,提交"垃圾邮件或不真实活动"举报
恶行
信任的背叛:对开源核心原则的践踏
-
透明原则: 开源建立在透明的基础上。PakePlus 隐藏其恶意行为,并在被揭露后才添加欺骗性的免责声明,这违背了透明原则
-
用户同意与自主原则: 道德的开源实践尊重用户。PakePlus 未经清晰、主动和预先的同意,就代表用户执行操作,剥夺了用户的自主权 。在文档文件中深藏的一句话,并不构成知情同意。
-
社区协作原则: 该项目的行为是榨取性的,而非协作性的。它获取用户凭证,并以牺牲用户安全和意愿为代价,换取虚高的指标,损害了整个社区的健康 。
明确的违规行为:PakePlus与GitHub的可接受使用政策
-
禁止排名滥用: GitHub的可接受使用政策明确禁止"自动化的过度批量活动和协同的非真实活动",并特别将**"排名滥用,例如自动加星或关注"**列为违规行为 。
-
禁止非真实互动: 该政策还禁止"非真实的互动,例如虚假账户和自动化的非真实活动" 。强迫用户账户执行自动化的、非自愿的互动,完全符合这一规定。
总结
本身开源项目有些需要star才给文档就已经被不少用户吐槽了
PakePlus项目倒好
直接用的github token偷偷给他的三个项目进行star、fork
并且每一次build的结果都会发一次issue
PakePlus的自动Star机制是一种"内部"的虚假Star生成方式。它不是从第三方服务购买Star,而是强迫其用户提供Star,达到了同样具有欺骗性的结果。
PakePlus 模式中,每个Star的边际成本为零,其"成本"由用户以其令牌和同意权的形式承担。
这种模式随着用户的增长而扩展,每个新用户都成为网络中的一个节点,放大了该项目的虚假人气。
这创造了一个欺骗性的正反馈循环:虚假的人气吸引了真实的用户,而真实用户的加入又产生了更多的虚假人气。
这种模式比一次性购买虚假Star要危险得多,也更具扩展性
目前PakePlus作者还在义愤填膺的与人大战
认为自己并没有什么过错