合规科技新星被指造假:Delve 陷欺诈质疑
一家头顶 Y Combinator 光环的合规科技初创公司正陷入公开指控漩涡。
本周,一位匿名作者在 Substack 平台发布文章,指控 Delve "虚假宣称"已帮助 "数百家客户达成合规",这些客户可能因此面临 HIPAA 下的刑事责任风险及 GDPR 下的巨额罚款。
Delve 是一家成立于 YC 的初创公司,去年宣布完成 3200 万美元 A 轮融资,估值达 3 亿美元。该轮融资由 Insight Partners 领投。周五,Delve 在官方博客发文反驳,称这篇 Substack 文章 "误导性强" 且 "包含多项不实指控"。
举报人身份与动机
文章署名 "DeepDelver",自称曾任职于一家现已停止使用 Delve 服务的客户公司。DeepDelver 回应 TechCrunch 邮件采访时表示,选择匿名是 "出于对 Delve 报复行为的担忧"。
DeepDelver 披露,去年 12 月他们收到一封邮件,称 Delve "泄露了一份包含客户机密报告的电子表格"。尽管 CEO Kaushik 在后续邮件中向客户保证系统合规、且无外部人员访问到敏感数据,但 DeepDelver 等客户已开始产生疑虑。
"我们共同经历了对 Delve 服务的失望,有一种 '事情不对劲' 的直觉,于是决定汇集资源展开联合调查。" DeepDelver 在文章中写道。
核心指控:伪造证据与审计舞弊
DeepDelver 的结论直指 Delve 商业模式本身:Delve 为实现 "全球最快合规平台" 的承诺,"通过伪造证据、在认证机构盖章前预先生成审计结论、跳过重大框架要求,同时告知客户已达成 100% 合规"。
文章详细列举了指控内容:Delve 向客户提供 "从未发生的董事会会议、测试和流程的伪造证据",随后让客户 "在接受虚假证据或自行完成大量手动工作(几乎没有真正的自动化或 AI 支持)之间二选一"。
DeepDelver 还声称,Delve 几乎所有客户都经由两家审计公司——Accorp 和 Gradient——完成认证。DeepDelver 形容这两家公司 "实为同一运营主体",主要在印度开展业务,在美国仅有象征性存在。这两家公司不过是 "盖章机器",对 Delve 生成的报告照单全收。
"通过在独立审核之前就生成审计结论、测试程序和最终报告,Delve 颠覆了合规结构的正常逻辑——将自己同时置于实施者和审核&查验者位置。" DeepDelver 表示,"这不是技术性违规,而是一种结构性欺诈,使整个认证失效。" 此外,DeepDelver 指控 Delve 还帮助客户欺骗公众:在客户网站上托管 "包含从未实际部署的安全措施" 的信任页面。
DeepDelver 提到一个细节:双方沟通期间,Delve "向我们寄送了多盒甜甜圈,试图安抚我们"。但 DeepDelver 的雇主最终还是撤下了信任页面,不再依赖 Delve 进行合规认证。
在初期的 Substack 文章发布后,X 用户 James Zhou 表示,他成功从 Delve 获取了敏感信息,包括员工背景调查和股权归属计划表。
Dvuln 创始人 Jamieson O'Reilly 分享了更多细节,据其所述,来自与 Zhou 的对话内容,Delve 外部攻击面存在 "多个严重安全漏洞"。
媒体联系尝试
TechCrunch 向 Delve 网站上公布的媒体联系人邮箱发送了邮件以征询评论。邮件被退回,但在本文发布后,Anthony 收到了一份 "Delve 演示" 的日历邀请,时间定在本周晚些时候。
文章更新
本文最初于 2026 年 3 月 21 日发布,后续更新已纳入 DeepDelver 的邮件回复、Jamieson O'Reilly 提供的有关所谓安全漏洞的补充信息,以及 Delve 对 TechCrunch 采访的进一步回应。
评论