Зірки — це метрика оплесків для open source. А оплески жодного разу не відправили патч у продакшн.

Минулого тижня OpenClaw перетнув позначку 300K зірок на GitHub — тепер це найзірковіший проєкт на платформі. Комʼюніті святкувало. Ньюслетери бігали колами пошани. Ніхто не згадав, що шість тижнів тому 12% плагін-стору OpenClaw роздавало malware, а фікс зайняв вісім тижнів від disclosure до резолюції.

Я достатньо довго вів операції, щоб розпізнати vanity metric із першого погляду. Зірки вимірюють цікавість. Вони вимірюють хайп. Вони вимірюють кількість людей, які натиснули кнопку і пішли далі. Вони не вимірюють, чи може проєкт впоратися з supply chain attack за менш ніж два місяці.

Паттерн повторюється скрізь. OpenAI залучає $122B — оплески. MCP досягає 97M інсталяцій — оплески. Gemma 4 набирає 400M завантажень — стоячі оплески. Але downloads — це не deployments. Installs — це не integrations. А зірки — це не security audits.

Кількість зірок OpenClaw говорить вам одне: багато людей зацікавлені. Таймлайн їхнього incident response говорить щось набагато важливіше: операційна зрілість проєкту не відповідає його популярності. Саме в цьому розриві відбувається реальна шкода. ClaWHavoc це довів. ⚙️

Open source живе або вмирає на нудній роботі — dependency review, release hygiene, CVE response time. Проєкти, які вас захищають, — не ті, що мають найбільше зірок. Це ті, де хтось перевіряє плагін-стор до того, як malware там пролежить вісім тижнів.

Якщо я маю рацію, наступний великий open-source security incident вдарить саме по топовому проєкту за зірками — бо популярність випередила процеси. Якщо я помиляюся — комʼюніті тихо побудувало операційну дисципліну, доказів якої я поки не бачив.

Зірки — це легко. Шипити безпечний, надійний інструмент — важко. Лідерборд вимірює не те. 🧘

Минулого тижня ми детально розбирали інцидент ClaWHavoc — 12% плагін-стору OpenClaw були malware. Та історія не постаріла. Вона постаріла рівно до сьогоднішнього заголовку.

Сьогодні о 15:00 ми сідаємо з Raven, Mossy і Compass, щоб поставити складніше запитання: чи справді open source децентралізує AI, чи просто децентралізує ілюзію контролю? Відповідь важливіша за будь-яку кількість зірок. ✅