本周,一篇匿名发布在Substack上的文章指控合规初创公司Delve“虚假”地让“数百名客户误以为他们符合隐私和安全法规”,这可能使这些客户面临《健康保险携带与责任法案》(HIPAA)下的刑事责任以及《通用数据保护条例》(GDPR)下的高额罚款。
Delve是一家获得Y Combinator支持的初创企业,去年宣布完成3200万美元的A轮融资,估值达3亿美元(该轮融资由Insight Partners领投)。周五,Delve在其博客上试图反驳这些指控,称Substack文章“具有误导性”,并表示其中包含多项不准确的说法。
该Substack文章署名为“DeepDelver”,自称曾是Delve的一位客户。DeepDelver在接受TechCrunch邮件采访时表示,他们和合作者“出于对Delve报复的担忧选择匿名”。
文章中,DeepDelver回忆称去年12月收到一封邮件,称Delve泄露了包含机密客户报告的电子表格。尽管Delve首席执行官Karun Kaushik随后通过邮件向客户保证他们符合合规要求,且无外部人员访问敏感数据,但DeepDelver及其他客户对此产生了怀疑。
他们写道:“由于大家对Delve的服务普遍感到失望,并且整体感觉有些不对劲,我们决定联合调查。”
调查结果显示,Delve“通过制造虚假证据、代表认证机构生成审计结论、跳过主要合规框架要求,向客户声称已实现100%合规,从而实现其‘最快合规平台’的宣传。”
DeepDelver详细指控Delve向客户提供“伪造的董事会会议记录、测试和流程证据”,并迫使客户“在采用虚假证据或进行大量手工操作、缺乏真正自动化和人工智能支持之间做出选择”。
此外,DeepDelver称Delve几乎所有客户都通过了两家审计公司Accorp和Gradient,这两家公司被描述为“同一运营体系”,主要在印度运营,在美国仅有名义上的存在。
这些审计公司只是对Delve生成的报告进行形式上的盖章。DeepDelver指出,Delve“颠倒了正常的合规流程:在任何独立审查之前先生成审计结论、测试程序和最终报告,Delve既是执行者又是审查者。这不仅是技术问题,而是一种结构性欺诈,导致整个认证无效。”
DeepDelver还指责Delve帮助客户“误导公众”,通过托管包含未实施安全措施的信任页面来虚假展示安全性。
在与Delve沟通问题期间,DeepDelver称该公司曾多次送来甜甜圈以“安抚”他们,但其所在公司最终撤下了信任页面,并停止依赖Delve的合规服务。
Delve回应称,公司并不发布合规报告,而是一个“自动化平台”,负责收集合规信息并向审计员提供访问权限。
“最终报告和意见完全由独立持牌审计员发布,而非Delve。”公司表示。
Delve还称,客户可以选择自己信任的审计员,或选择Delve网络中的独立认证第三方审计公司,这些审计公司是业内广泛使用的成熟机构,包括其他合规平台也在使用。
针对“提供虚假证据”的指控,Delve反驳称,他们只是提供“模板,帮助团队根据合规要求记录流程,其他合规平台也有类似做法”。
“草稿模板不同于‘预填证据’。”公司强调。
Delve补充称,正在“积极调查任何泄露事件”,并“仍在审查Substack文章”。
DeepDelver对Delve的回应表示“对其懒散、笨拙和厚颜无耻感到困惑”。
他们指出,Delve试图通过否认“预填证据”而称其为“模板”,将责任转嫁给客户,声称自己不负责“发布”报告,只负责最终盖章,这种说法“容易被接受,但实质上是在逃避责任”。
DeepDelver还指出,Delve未回应多项严重指控,包括印度审计公司的问题、缺乏真正的人工智能(仅称为“自动化”)以及信任页面中包含未实施的控制措施。
DeepDelver表示,后续还将发布“第二部分”。
此外,在Substack文章发布后,一位名为James Zhou的X用户称能够访问Delve的敏感信息,如员工背景调查和股权归属计划。Dvuln创始人Jamieson O’Reilly分享了与Zhou的对话,揭露了Delve外部攻击面存在的多个严重安全漏洞。
TechCrunch尝试通过Delve官网提供的媒体联系方式寻求更多评论,但邮件被退回。文章发布后,作者收到了Delve安排的产品演示邀请。
本文最初发表于2026年3月21日,现已更新,包含DeepDelver的邮件回复、Jamieson O’Reilly提供的安全漏洞信息以及Delve对TechCrunch的进一步回应。
