导语
合规初创公司 Delve 的风波仍在持续发酵。自今年初被匿名举报者指控存在数据造假和“橡皮图章”审计问题后,Delve 的客户不断流失、合作伙伴纷纷切割。近日,又有两家前客户——Context AI 和 Lovable——相继卷入数据泄露或安全丑闻,而举报人更是抛出新料,指控 Delve 在拒绝退款的同时仍组织团队前往夏威夷团建。
事件起因:匿名爆料与认证造假指控
今年初,匿名举报人 DeepDelver 在网络平台爆料,指控 Delve 存在严重问题:伪造客户数据、在合规认证过程中使用形同虚设的“橡皮图章”审计员。Delve 随后发布声明否认这些指控。
然而,争议并未就此平息。LiteLLM 作为 Delve 的安全认证客户之一,遭到黑客攻击,开源代码中被植入恶意软件。事件发生后,LiteLLM 立即宣布终止与 Delve 的合作,转而重新申请认证。
更糟的是,Delve 还被指控将开源工具据为己有,未按要求标注许可证来源。这一系列负面消息直接动摇了其行业信誉,曾孵化 Delve 的 Y Combinator 也宣布与其断绝关系。
连锁反应:前客户相继陷入数据安全风波
Context AI 承认曾是客户,已转向新认证机构
Context AI 近日向 TechCrunch 确认,公司此前确为 Delve 客户,但已在今年 3 月媒体报道后切换至 Vanta,并聘请独立审计公司 Insight Assurance 进行全新审核&查验。Context AI 表示正在更新公开材料,审核&查验完成后将公布新的合规证明。
需要注意的是,安全认证本身并不能完全阻止安全事件的发生,其意义在于验证企业是否建立了相应的安全政策和流程,从而降低客户数据泄露的风险。
Lovable 承认数据泄露:配置错误还是隐瞒?
Lovable 是另一家已弃用 Delve 的公司。该公司表示已于 2025 年底与 Delve 分道扬镳,并重新完成了部分安全认证。
然而,Lovable 周一承认,公司曾无意中公开分享了客户聊天数据。Lovable 解释称,这是由于配置错误导致,而非黑客入侵。但更值得关注的是,有用户早前就向 Lovable 报告了这一漏洞,却被公司管理层无视并驳回。Lovable 已就初期否认数据泄露一事公开道歉。
Vercel 数据泄露事件:Context AI 是导火索?
上周,Vercel 披露其内部系统遭入侵,部分客户数据被访问。调查发现,黑客攻击的起点是一名员工下载了 Context AI 开发的应用程序,并将其连接至 Vercel 托管在 Google 的企业账户。攻击者利用该员工的 Google 账户访问权限,进一步渗透 Vercel 部分内部系统。
Context AI 已承认曾是 Delve 客户,但目前尚无证据表明 Delve 的认证流程与此次 Vercel 数据泄露存在直接关联。
举报人再爆料:拒绝退款却带团队夏威夷团建?
就在各家公司忙于撇清关系之际,举报人 DeepDelver 又抛出了一颗“重磅炸弹”。DeepDelver 发布新帖,指控 Delve 一边拒绝向客户退款,一边却在 4 月 15 日至 19 日期间组织 20 多人的团队前往夏威夷团建。
举报人向 TechCrunch 提供了一些支持这一说法的证据,但 TechCrunch 同时表示,无法独立核实其他具体指控内容。
截至发稿,Delve 未回复媒体置评请求,其媒体关系邮箱发送的邮件已被退回。
影响与建议
Delve 事件对整个合规认证行业敲响了警钟。企业在选择安全认证服务提供商时,应更加审慎地评估供应商的独立性和审计质量,而非仅依赖一纸证书。同时,对于已经完成认证的企业而言,定期复查和主动安全审计仍不可或缺——认证绝非万能护身符。
对于正在进行数字化转型的公司,建议优先选择具有独立审计机制、且经过多家机构交叉验证的合规服务,并在内部建立快速响应安全反馈的机制,避免重蹈 Lovable 忽视漏洞报告的覆辙。
评论