警惕开源项目PakePlus:一个正在偷取你GitHub token自动star fork的开源项目

PakePlus作者自爆开源项目被要求改名字

v2exPakePlus的作者自爆被Pake作者要求自己项目改名字

说禁止PakePlus蹭流量

本来以为只是简单的名字和推广问题,谁知道项目不仅蹭热度,还要偷用户的 token

虚假的热度

点击查看PakePlus主页看到比较多的starissues

以为项目有一些热度

但是有意思的是来了

star 5.6k

fork 3.6k

但是贡献者却只有7个

issues也比较多,以为是大家很关心项目,有很多项目的问题需要咨询

然后打开issues就发现不对劲

全是用户的build success

初步怀疑是项目利用用户github账号自动跑的issues,目的是为了刷活跃度

引诱用户填写token

sjj1024.github.io/PakePlus/zh...

偷偷自动使用用户token star

偷到用户的github token

会在项目中通过api调用自动starfork作者的三个项目

github.com/Sjj1024/Pak...

这也就解释的通了为什么贡献者这么少

但是starfork这么多的原因

明明没有没有token说明却指责用户不看文档

被网友爆料后,该作者随后偷偷添加了github token的使用说明

然后指着网友不看文档

被偷走token的用户如何处理

如果您曾使用PakePlus,建议立即采取以下措施:

  1. 撤销 GitHub token:登录 GitHub,进入"设置" > "开发者设置" > "个人访问令牌",删除与 PakePlus 相关的 token。
  2. 检查账户活动:查看您的 GitHub 账户是否有异常点赞、关注或仓库活动。
  3. GitHub 举报:通过 PakePlus 仓库页面或 Sjj1024 用户页面的"Block or Report"功能,提交"垃圾邮件或不真实活动"举报

恶行

信任的背叛:对开源核心原则的践踏

  • 透明原则: 开源建立在透明的基础上。PakePlus 隐藏其恶意行为,并在被揭露后才添加欺骗性的免责声明,这违背了透明原则

  • 用户同意与自主原则: 道德的开源实践尊重用户。PakePlus 未经清晰、主动和预先的同意,就代表用户执行操作,剥夺了用户的自主权 。在文档文件中深藏的一句话,并不构成知情同意。

  • 社区协作原则: 该项目的行为是榨取性的,而非协作性的。它获取用户凭证,并以牺牲用户安全和意愿为代价,换取虚高的指标,损害了整个社区的健康 。

明确的违规行为:PakePlus与GitHub的可接受使用政策

  • 禁止排名滥用: GitHub的可接受使用政策明确禁止"自动化的过度批量活动和协同的非真实活动",并特别将**"排名滥用,例如自动加星或关注"**列为违规行为 。

  • 禁止非真实互动: 该政策还禁止"非真实的互动,例如虚假账户和自动化的非真实活动" 。强迫用户账户执行自动化的、非自愿的互动,完全符合这一规定。

总结

本身开源项目有些需要star才给文档就已经被不少用户吐槽了

PakePlus项目倒好

直接用的github token偷偷给他的三个项目进行starfork

并且每一次build的结果都会发一次issue

PakePlus的自动Star机制是一种"内部"的虚假Star生成方式。它不是从第三方服务购买Star,而是强迫其用户提供Star,达到了同样具有欺骗性的结果。

PakePlus 模式中,每个Star的边际成本为零,其"成本"由用户以其令牌和同意权的形式承担。

这种模式随着用户的增长而扩展,每个新用户都成为网络中的一个节点,放大了该项目的虚假人气。

这创造了一个欺骗性的正反馈循环:虚假的人气吸引了真实的用户,而真实用户的加入又产生了更多的虚假人气。

这种模式比一次性购买虚假Star要危险得多,也更具扩展性

目前PakePlus作者还在义愤填膺的与人大战

认为自己并没有什么过错

参考

相关推荐
从零开始学习人工智能31 分钟前
Coze Studio:开源AI Agent开发工具的全方位实践指南
人工智能·开源
Albert_Lsk41 分钟前
【2025/07/31】GitHub 今日热门项目
人工智能·开源·github·开源协议
一千柯橘1 小时前
Milkdown:重塑 Markdown 编辑体验的开源利器【实时预览你的 markdown 内容】倍儿爽!
前端·开源·markdown
神经星星2 小时前
在线教程丨全球首个 MoE 视频生成模型!阿里 Wan2.2 开源,消费级显卡也能跑出电影级 AI 视频
人工智能·机器学习·开源
白鲸开源4 小时前
从日志到告警,带你用好 SeaTunnel 的事件监听能力
大数据·数据分析·开源
算家计算4 小时前
全新升级!Nexus-Gen V2本地部署教程:图像理解能力媲美GPT-4o
人工智能·开源·aigc
ajassi20005 小时前
开源 Arkts 鸿蒙应用 开发(十二)传感器的使用
linux·华为·开源·harmonyos
DevSecOps选型指南6 小时前
技术分享 | 悬镜亮相于“2025开放原子开源生态大会软件物料清单(SBOM)”分论坛
开源·开放原子·软件供应链安全工具·投毒情报中心·投毒情报
度假的小鱼6 小时前
【源力觉醒 创作者计划】对比与实践:基于文心大模型 4.5 的 Ollama+CherryStudio 知识库搭建教程
人工智能·开源·文心大模型·知识库搭建
请叫我小蜜蜂同学8 小时前
「源力觉醒 创作者计划」开源大模型重构数智文明新范式
重构·开源