GitHub Issues 遭遇大规模垃圾广告攻击，开源社区成黑产引流池

2026 年 3 月底，GitHub 上的大量热门仓库遭遇了一场规模空前的垃圾广告攻击。多个机器人账号以极高并发量在开源项目的 Issues 区域集中发布中文赌博引流信息，涉及微软 WSL、Home Assistant、msgpack-node 等多个知名项目。

攻击模式

这波攻击有一个鲜明的特征：伪装度高。

每条垃圾 issue 的结构高度统一——前半段放置赌博平台的广告图片，后半段则是一段看似正经的开发讨论或 AI 模型论述。这种"前广告、后伪装"的组合，让 issue 从标题和摘要来看不像典型的垃圾信息，增加了自动过滤的难度。

攻击者显然利用了 AI 文本生成能力来批量生产这些伪装内容。问题不在于技术多高明，而在于量大到足以淹没正常讨论。

受影响项目

从公开信息看，以下项目的 Issues 区域都出现了大量垃圾广告：

• microsoft/WSL
• home-assistant/frontend
• anomalyco/opencode
• msgpack/msgpack-node

由于垃圾信息的涌入速度远超人工清理能力，部分仓库的维护者已经选择临时关闭 Issue 功能，以恢复正常秩序。

平台治理的困境

GitHub 作为全球最大的代码托管平台，其 Issue 系统本意是促进开源协作和问题追踪，现在却成了黑产引流的免费广告位。

现有的举报和拉黑机制在这波攻击面前显得力不从心。机器人账号被封禁后可以迅速注册新号继续发帖，而平台侧的自动风控似乎没能及时识别出这种新型垃圾信息的模式特征。

这暴露了一个更深层的问题：当垃圾信息生产者开始系统性地使用 AI 来提升伪装度，传统依赖关键词匹配和行为模式的反垃圾系统，识别效率会显著下降。

对开源社区的影响

Issues 被垃圾信息占领，直接影响的是开源协作效率。维护者需要花费大量时间清理垃圾，正常的 bug 报告和功能讨论被淹没在广告之中。对于依赖 Issues 进行项目管理的中小型开源项目，这种冲击尤为严重。

更长远的影响是信任。如果开发者觉得 GitHub 的公共讨论区已经不可靠，他们可能会转向其他更封闭的沟通渠道，这实际上削弱了开源协作的开放性。

现状

截至发稿时，部分受影响仓库已通过关闭 Issue 来应对，但这是一把双刃剑——在阻止垃圾信息的同时，也切断了正常用户的反馈渠道。GitHub 官方尚未针对此次攻击发布公开声明或平台级应对措施。

这场攻击仍在持续。对于 GitHub 而言，如何在不伤害开源协作开放性的前提下，有效遏制利用 AI 伪装的规模化垃圾信息，是一个需要尽快回答的问题。