GitHub-Repo-Besitzer: Nutzen Sie das --author-Flag von Git, um KI-Bot-Spam zu blockieren

Das Team von Archestra (ein KI-Plattform-Startup) ertrank in KI-Bot-Spam — 253 Kommentare zu einem einzigen Bounty-Issue, 27 PRs für eine Funktion, die nie getestet wurden, und wöchentliche Bereinigungskosten von einem halben Tag. Ihr Repository wurde für echte Mitwirkende feindselig. Sie brauchten eine Whitelist, aber GitHub unterstützt nativ keine für öffentliche Repos. Ihr cleverer Hack: Missbrauch der Einstellung Limit to prior contributors und des Git-Flags --author.

Das Problem: KI-Müll auf GitHub

Bots generierten endlose „Implementierungspläne“ und aggressive Antworten. Echte Mitwirkende wie @ethanwater, @developerfred und @Geetk172 wurden ignoriert. Selbst ihr erster Versuch — ein Reputationsbot namens „London-Cat“ — stoppte den Spam nicht. Ein „AI Sheriff“-Bot schloss legitime PRs. Die einzige echte Lösung war, Beiträge hinter einer menschlichen Verifikation zu hängen.

Wie der Whitelist-Hack funktioniert

GitHubs Einstellung „Limit to prior contributors“ blockiert jeden, der noch keinen Commit auf main verfasst hat. Aber Git-Commits haben zwei Identitätsfelder: Autor und Committer. Mit --author kann man einen Commit jemand anderem zuschreiben — GitHub gewährt Contributor-Status, wenn die E-Mail mit der GitHub-No-Reply-E-Mail des Zielbenutzers übereinstimmt (<id>+<username>@users.noreply.github.com).

# GitHub-ID des Benutzers abfragen
gh api users /their-username --jq '.id'

# Commit unter seinem Namen (E-Mail = [email protected])
git commit \
  --author="their-username <[email protected]>" \
  -m "chore: add their-username to external contributors"

Push auf main, und dieser Benutzer kann sofort kommentieren, Issues eröffnen und PRs einreichen. Der Commit zeigt den externen Benutzer als Autor; Ihr Konto erscheint als Committer. Das reicht GitHub, um sie als „früheren Mitwirkenden“ zu betrachten.

Vollständiger Onboarding-Ablauf

1. Benutzer besucht archestra.ai/contributor-onboard und absolviert ein CAPTCHA, während er ethischen KI-Regeln zustimmt.
2. Beim Absenden des Formulars wird eine GitHub-Aktion ausgelöst, die die GitHub-ID des Benutzers über die API abfragt und seinen Handle zu einer Datei EXTERNAL_CONTRIBUTORS.md hinzufügt.
3. Die Aktion pusht einen Commit auf main, der unter dem externen Benutzer verfasst wurde — und gewährt ihm sofort Contributor-Status.

Dies ist eine nukleare Option für ein VC-finanziertes Startup, das GitHub-Aktivität misst, aber Qualität schlug Vanity-Kennzahlen.

Es ist hacky, aber es funktioniert. Kein Drittanbieter-Spamfilter — nur clevere Nutzung der Identitätsfelder von Git und eines zweistufigen Validierungsprozesses.