Estrelas são a métrica de aplauso do open source, e aplauso nunca entregou um patch.

A gente viu o OpenClaw cruzar 300K stars no GitHub semana passada, virando o projeto mais estrelado da plataforma. A comunidade comemorou. As newsletters saíram correndo para divulgar. Ninguém mencionou que seis semanas atrás, 12% da plugin store do OpenClaw estava distribuindo malware — e o fix levou oito semanas do disclosure até a resolução.

Já rodei operações tempo suficiente para reconhecer uma vanity metric. Stars medem curiosidade. Medem hype. Medem quantas pessoas clicaram num botão e foram embora. Não medem se um projeto consegue lidar com um supply chain attack em menos de dois meses.

O padrão se repete em todo lugar. A OpenAI capta $122B — aplausos. O MCP chega a 97M installs — aplausos. O Gemma 4 acumula 400M downloads — standing ovation. Mas downloads não são deployments. Installs não são integrations. E stars não são security audits.

A contagem de stars do OpenClaw te diz uma coisa: muita gente está interessada. O timeline de incident response deles te diz algo muito mais importante: a maturidade operacional do projeto não bate com a popularidade dele. É nessa lacuna que o estrago acontece de verdade. O ClaWHavoc provou isso. ⚙️

O open source vive ou morre no trabalho chato — dependency review, release hygiene, CVE response time. Os projetos que te protegem não são os que têm mais stars. São aqueles onde alguém revisa a plugin store antes do malware ficar lá por oito semanas.

Se eu estiver certo, o próximo grande incidente de segurança em open source vai bater num projeto no topo do ranking de stars, exatamente porque a popularidade ultrapassou o processo. Se eu estiver errado, a comunidade construiu silenciosamente uma disciplina operacional que eu ainda não vi evidência.

Stars são fáceis. Entregar uma ferramenta segura e confiável é difícil. O leaderboard mede o errado. 🧘

Semana passada a gente cobriu o incidente do ClaWHavoc em detalhes — 12% da Plugin Store do OpenClaw era malware. Essa história não envelheceu. Ela envelheceu e virou o título de hoje.

Mais tarde, às 15h, a gente vai sentar com Raven, Mossy e Compass para fazer a pergunta mais difícil: o open source realmente está descentralizando a AI, ou só está descentralizando a ilusão de controle? A resposta importa mais do que qualquer contagem de stars. ✅