O Mercado Negro do GitHub que ajuda os programadores a trapacearem no concurso de popularidade
O Submundo do GitHub que auxilia programadores a fraudarem o ranking de popularidade
O Github garantiu seu status como o melhor amigo do programador ao combinar ferramentas para gerenciar software com recursos de colaboração que criam uma espécie de rede social para os conhecedores de código. Seu sucesso atraiu uma característica menos desejada das plataformas sociais: um mercado negro de engajamento falso.
Um ecossistema de lojas online e grupos de chat vendem abertamente estrelas do Github, que os usuários concedem para sinalizar interesse em um projeto e podem ser contabilizadas para classificar as mais populares. Pelo “preço promocional” de $6 pagos em ether, a moeda criptográfica da blockchain Ethereum, a ENBLE comprou 50 estrelas para um projeto inativo do Github por meio do site com nome bastante sugestivo BuyGithub.com. As recomendações falsas apareceram em apenas algumas horas.
As estrelas duvidosas à venda fazem parte de um mercado negro mais amplo de métricas de engajamento online, usadas por programadores, investidores e outros do setor de tecnologia para destacar programadores e startups promissores ao decidir quem contratar, para quem trabalhar ou em quem investir.
As lojas online também oferecem votos positivos para projetos listados no Product Hunt, a plataforma comunitária que promete ajudar as pessoas a descobrirem a próxima grande novidade da tecnologia antes dos demais, além de seguidores e visualizações na comunidade de ciência de dados Kaggle, onde se destacar pode resultar em oportunidades de emprego. Os vendedores parecem estar procurando aproveitar a ambição e talvez a desesperação das pessoas que buscam um atalho para o sucesso em uma indústria às vezes associada ao mantra “fingir até conseguir”.
“Quase toda manipulação online é uma forma de chamar atenção com o objetivo de ganhar dinheiro – adquirir atenção e depois transformá-la em dinheiro ou poder”, diz Filippo Menczer, diretor do Observatório de Mídia Social da Universidade de Indiana. “O Github não é diferente. É um mercado de atenção porque há mecanismos pelos quais as pessoas adquirem notoriedade, influência e reputação através do quão popular ou amplamente utilizado é o seu software.”
- Agarre o Shark Speedstyle pelo menor preço
- A Apple pode lançar novos MacBooks em breve — aqui está quando
- As maneiras mais eficazes de melhorar o seu negócio com IA
Fraser Marlow, chefe de crescimento da startup de orquestração de dados Dagster, entrou no mercado de manipulação do Github no ano passado, depois de perceber que os investidores pareciam usar as estrelas na plataforma como um sinal de que uma oferta de código aberto estava ganhando força.
Sua equipe comprou estrelas de duas lojas online diferentes e usou dados coletados no processo para criar um modelo que detecta estrelas falsas em repositórios do Github. Eles executaram o modelo no próprio repositório de código do Dagster, bem como em vários outros.
O projeto de criptomoeda Okcash foi o pior infrator: 97% de suas 759 estrelas foram identificadas como falsas pelo detector do Dagster. Enquanto isso, apenas 1,6% das 29.435 estrelas foram identificadas como falsas para o Apache Airflow, um projeto de código aberto que concorre com o Dagster. A análise se limitou às estrelas obtidas a partir de 2022; a Astronomer, que gerencia a comunidade por trás do Apache Airflow, se recusou a comentar.
O fundador do Okcash, Oktoshi San, afirma que seu projeto não se importa com métricas de vaidade, como estrelas e “forks”, mas que alguns membros da comunidade lançaram ofertas convidando as pessoas a premiar o projeto no Github em troca de tokens do Okcash.
As descobertas do Dagster se basearam em trabalhos anteriores, incluindo um artigo de pesquisadores acadêmicos que identificaram mais de 63.000 contas suspeitas de concederem estrelas duvidosas ativas no Github entre 2015 e 2019. As conclusões foram alcançadas analisando dados de vendedores de estrelas no aplicativo de mensagens Telegram e nas plataformas de mensagens chinesas WeChat e QQ.
“A GitHub Security está ciente da presença de falsos starrers há anos e trabalha ativamente para removê-los da plataforma”, diz Jesse Geraci, conselheiro de segurança online da empresa. Geraci reconhece que pode ser desafiador encontrar um equilíbrio entre a remoção precisa de contas inautênticas e a permissão de contas genuínas para operar sem entraves. “Sessenta e três mil contas suspeitas podem parecer muito, mas é uma porcentagem muito pequena dos mais de 100 milhões de desenvolvedores que estão construindo no GitHub”, diz Geraci.
Depois que Marlow publicou seu artigo sobre o rastreamento de estrelas suspeitas, quase todas as estrelas pelas quais ele pagou desapareceram em uma semana. As estrelas compradas pela ENBLE também foram removidas menos de um mês após a compra. A equipe de combate ao abuso do GitHub combina investigação manual com técnicas de software para identificar contas inautênticas.
“A obsessão em torno das estrelas do GitHub, eu gosto de pensar que era um pouco de ressaca da bolha do ZIRP”, diz Marlow, referindo-se à política de taxa de juros zero que recentemente terminou nos EUA. É algo que somente investidores de capital de risco e empresas estão obcecados, ele diz, mas ao longo do último ano ele já notou que as pessoas estão dando menos importância a elas.
Investidores de capital de risco estão “duramente ENBLExigindo” um rápido crescimento nas startups em busca de investimento, diz Pratima Aiyagari, sócia da empresa de capital de risco Nauta Capital. Projetos de código aberto podem operar anos sem gerar receita significativa, diz ela, então os investidores procuram outros sinais de crescimento, sendo as estrelas do GitHub apenas um deles. O sucesso de empresas como a empresa de software empresarial Mulesoft e a plataforma de desenvolvimento de software colaborativo Gitlab despertou grande interesse em empresas de código aberto, diz ela. “O dinheiro dos investidores de capital de risco tem sido injetado no setor.”
Para rastrear startups de código aberto, a empresa de capital de risco Runa Capital criou o Índice ROSS, que classifica as empresas pela taxa de crescimento anualizada das estrelas do GitHub. Ele se tornou um referencial amplamente seguido para produtos de código aberto com rápido crescimento.
O índice é um bom indicador se uma empresa vai fechar uma rodada de investimento, diz Konstantin Vinogradov, um sócio-gerente da Runa. Cerca de um terço de todas as empresas listadas no índice desde o seu lançamento em 2020 fecharam rodadas subsequentes nos próximos 12 meses, ele diz.
Ao longo do tempo, métricas podem se invalidar, diz Stuart Geiger, professor assistente na UC San Diego. Ele diz que duas “leis” atribuídas a cientistas sociais resumem por que isso acontece: quanto mais uma métrica é usada para tomada de decisões, mais ela será manipulada (lei de Campbell) e uma métrica que se torna um alvo deixa de ser útil (lei de Goodhart).
A linha entre estratégia inteligente e trapaça pode ser tênue. “Se uma empresa se torna a número um no Product Hunt, eles colocam isso em seu site e talvez isso aumente sua taxa de conversão de clientes”, diz Vinogradov. “É apenas ganhar o jogo? Ou é uma estratégia razoável impulsionada pelos negócios?”
Kevin Zhang, um ex-investidor de capital de risco que agora está construindo sua própria startup, diz que as estrelas do GitHub parecem ter se tornado um alvo para empreendedores em busca de impressionar. “Comecei a notar que os fundadores estavam colocando mais crescimento de estrelas em seus decks”, diz ele. “Isso sempre desperta um pouco de suspeita, não é? Oh, talvez seja um pouco manipulado.”
Mas Zhang e outros investidores dizem que, embora manipular uma métrica como estrelas possa ajudar uma startup a conseguir uma primeira reunião com investidores de capital de risco, é improvável que consigam uma segunda reunião. As perspectivas dos investidores em relação às métricas do GitHub mudaram nos últimos anos como resultado da gamificação e de um entendimento maior do mercado de código aberto, diz Zhang. O engajamento positivo no GitHub é um sinal promissor, mas não é um sinal infalível de sucesso, dizem Zhang, Vinogradov e Aiyagari, com informações sobre a equipe fundadora, mercado e muitos outros pontos de dados sendo considerados antes de fazer um investimento.
Baddhi Shop, uma loja online que oferece métricas inautênticas, lançou seus serviços do GitHub no início deste ano. Ele também vende votos no Product Hunt, assim como votos, seguidores e visualizações no Kaggle. Quando a ENBLE enviou mensagens para a conta do LinkedIn do fundador do site, Naga Durgarao Baddhi, as respostas vieram afirmando que o negócio era legítimo.
Quando chega um pedido de estrelas do GitHub ou outra métrica, uma equipe de 11 pessoas começa a clicar, “de diferentes dispositivos na nuvem”, disse Baddhi, acrescentando que isso não é spam porque a loja respeita os termos de serviço de cada site. GitHub não é a oferta mais popular de métricas falsas, disse Baddhi. Discord, um serviço de salas de bate-papo popular entre projetos de criptomoedas, recebe compras diárias, e métricas de outros 10 serviços também são populares, diz Baddhi. Kellyn Slone, porta-voz do Discord, diz que criar ou vender contas falsas viola os termos de serviço e a empresa toma providências, incluindo a remoção de usuários do serviço.
A venda de engajamento falso é mais conhecida em grandes plataformas sociais como o Facebook. A emergência de um mercado para sites menores e mais novos, como o GitHub e o Product Hunt, pode ser devido às plataformas principais estarem prestando mais atenção em contas falsas, diz Stefano Cresci, pesquisador especializado em desinformação, notícias falsas e bots sociais no Instituto de Informática e Telemática, parte do Conselho Nacional de Pesquisa, em Pisa, na Itália. Os vendedores podem estar migrando para outras plataformas onde é mais fácil continuar com o negócio, ele diz.
Também há evidências de que, agora que a vida online está centralizada em quase todas as áreas do empreendimento humano, a trapaça online ocorre até mesmo em comunidades de nicho. Justin Hollander, professor da Universidade Tufts, perto de Boston, recentemente publicou uma pesquisa mostrando bots do Twitter sendo usados para tentar influenciar o planejamento urbano. Os bots agiam em 21 projetos imobiliários nos EUA, incluindo o desenvolvimento do SoFi Stadium na Califórnia e projetos de uso misto em Atlanta.
“Diferentes organizações comunitárias e agências governamentais estavam usando bots”, ele diz. “Não conseguimos encontrar apenas um grupo. Parece que qualquer entidade que seja experiente e ativa nesse espaço de moldar a cidade e estar envolvida nessas áreas políticas está usando bots.”
Menczer da Universidade de Indiana compara o uso generalizado de bots sociais e engajamento falso aos efeitos da poluição, com lixo se acumulando para enterrar o que tem valor e qualidade. Ele espera que piore à medida que a tecnologia avança. Menczer e colegas encontraram recentemente evidências de uma rede de bots que promovem criptomoedas no Twitter, alimentada pelo ChatGPT.
“É difícil para humanos e difícil para software detectar contas falsas”, diz Menczer. “E o ChatGPT criará felizes muitas contas falsas que são impossíveis de distinguir das verdadeiras”. Geradores de imagens de IA estão sendo usados para gerar fotos de perfil falsas realistas e únicas, diz Menczer, eliminando o que no passado muitas vezes era uma maneira reveladora de identificar contas falsas.
“É uma corrida armamentista, pois os bots sociais se tornam cada vez mais inteligentes e sofisticados”, diz Menczer. Não importa quais novas métricas de engajamento surjam para projetos de software, empresas ou pessoas, os golpistas sempre estarão por perto.
