陷入困境的合规初创公司Delve的故事持续出现新的波折。
TechCrunch确认,Delve是为AI代理训练初创公司Context AI执行安全认证的合规公司。Context AI上周披露了一起安全事件,导致知名应用和网站托管巨头Vercel发生数据泄露。
另一方面,曾发生过安全事件的Lovable已不再是Delve的客户。
回顾一下:上个月,Delve因一名匿名举报者指控其伪造客户数据并在合规和认证过程中使用走过场的审计员而受到抨击。Delve否认了这些指控。
不久之后,黑客攻击了Delve的另一安全认证客户LiteLLM,并在其开源代码中植入恶意软件。事件发生后,LiteLLM告诉TechCrunch他们将放弃Delve并重新进行认证。
Delve还被指控未经适当许可归属,将一个开源工具冒充为自己的作品。该初创公司的声誉因此受损,促使其毕业的创业孵化器Y Combinator切断了合作关系。
时间快进到上周末,Vercel表示黑客入侵了其内部系统,访问了一些客户数据。黑客通过一名员工下载了Context AI开发的应用,并将该应用连接到Vercel托管在谷歌的企业账户,利用该员工的谷歌账户权限入侵了Vercel的部分内部系统。
Context AI被点名后,工程通讯作者Gergely Orosz在社交平台X上表示,Delve是负责Context AI安全认证的公司。
Context AI已向TechCrunch确认曾使用Delve的服务,但现已放弃该初创公司,正在重新进行认证。
Context AI发言人表示:“是的,Context之前是Delve的客户。鉴于三月份关于Delve的报道,我们已将合规项目转移至Vanta,并聘请独立审计公司Insight Assurance进行新的审查。作为重新审查的一部分,我们开始更新公开材料,完成后将分享新的认证声明。”
安全认证本身无法阻止安全问题,它们旨在验证公司是否具备防范攻击和减少客户数据泄露风险的政策和流程。
例如,Lovable曾是Delve客户,但在举报者指控曝光后,该氛围编码平台表示早在2025年底就已放弃Delve。该公司已完成一次安全认证的重新认证,其他认证也在进行中。
不过,Lovable周一承认曾无意中公开共享了客户聊天数据的访问权限。公司还表示几个月前收到的漏洞报告被忽视。Lovable为最初否认数据泄露道歉,但称问题源于配置错误,而非黑客攻击。
关于Delve还有更奇怪的消息。匿名举报者DeepDelver发布另一篇文章,指控Delve拒绝向客户退款,但在4月15日至19日期间带领20多人的团队前往夏威夷举行线下会议。
举报者向TechCrunch提供了一些有力证据支持夏威夷之行,但TechCrunch未能确认其他指控。
文章发布后,Delve拒绝置评。
