AI风险合规厂商Delve被曝帮客户“合规造假”，或触发监管处罚风险

2026 年 3 月 22 日，据TechCrunch报道，一篇发布在Substack上的匿名文章指控合规初创公司 Delve “虚假”地让“数百家客户相信自己已经符合”隐私与安全监管要求，从而可能使这些客户面临“在 HIPAA 下的刑事责任，以及在 GDPR 下的高额罚款”。

Delve是一家获得Y Combinator支持的初创公司。该公司去年宣布完成3200万美元A轮融资，估值达 3 亿美元（由Insight Partners领投）。上周五，Delve在其官方博客中回应上述指控，称该Substack文章“具有误导性”，并表示其中“包含多项不准确的说法”。

该 Substack 文章署名为 “DeepDelver”，其自称曾就职于Delve的一家（现已不再合作的）客户公司。在回复 TechCrunch 的邮件问询时，DeepDelver表示，他们及其合作者“出于对 Delve 可能报复的担忧，选择保持匿名”。

在文章中，DeepDelver回忆称，曾于 12 月收到一封邮件，称该公司“泄露了一份包含客户机密报告的电子表格”。尽管Delve CEO Karun Kaushik随后在邮件中向客户保证，公司仍符合合规要求，且没有外部方接触到敏感数据，但DeepDelver表示，他们以及其他客户已开始产生怀疑。

“在共同经历了对 Delve 服务的不满，并普遍感觉事情有些异常之后，我们决定整合资源，一起展开调查。”他们写道。

他们的结论是：Delve所谓“最快平台”的实现方式，是通过伪造证据、替认证机构生成审计结论、依赖走过场的“盖章式”审计报告，并在未满足关键合规框架要求的情况下，仍向客户宣称已实现100%合规。

DeepDelver还对这些指控进行了详细展开，称该公司向客户提供“从未发生过的董事会会议、测试和流程的伪造证据”，并迫使客户在两者之间做出选择：要么接受这些虚假材料，要么回到大量手工操作——而所谓的自动化或 AI，几乎没有实际价值。

DeepDelver还表示，几乎所有Delve客户都通过两家审计机构完成审计：Accorp和Gradient。他们称这两家公司“实际上属于同一体系”，主要在印度运作，在美国仅有名义上的存在。

在他们看来，这些审计机构只是为Delve生成的报告“走流程盖章”。因此，DeepDelver认为，这家公司实际上“颠倒”了正常的合规结构：

“在任何独立审查发生之前，Delve就已经生成了审计结论、测试流程和最终报告。这使其同时扮演了执行者与审查者的角色。这不是技术细节问题，而是一种结构性造假，会让整个鉴证体系失去效力。”

除了误导客户，DeepDelver还指控 Delve 协助客户“误导公众”，例如托管所谓的信任页面（trust pages），但其中列出的安全措施从未真正实施。

DeepDelver还提到，在其公司与Delve就相关问题沟通期间，对方“寄来了好几箱甜甜圈……试图安抚我们”。不过，他们所在公司最终下线了相关信任页面，也不再依赖 Delve 提供合规服务。

对此，Delve回应称，公司本身并不出具任何合规报告，而只是一个“自动化平台”，负责整合合规相关信息，并向审计机构提供访问。

“最终报告和审计意见完全由独立持证审计师出具，而非 Delve，”公司表示。

Delve还称，其客户“可以选择自行聘请审计机构，也可以从Delve的独立、合规认证的第三方审计网络中选择”。这些审计机构“在行业内被广泛采用，也服务于其他合规平台”。

针对“提供虚假证据”的指控，Delve回应称，其提供的只是“用于帮助团队按合规要求记录流程的模板，这在行业中是常见做法”。

“草稿模板并不等同于‘预填好的证据’，”公司表示。

此外，Delve表示正在“积极调查任何数据泄露事件”，并“仍在对该Substack文章进行审查”。

当被问及对Delve回应的看法时，DeepDelver在接受TechCrunch采访时表示，他们对这一回应“感到困惑——既敷衍、笨拙，又毫不掩饰”。

“他们试图通过玩文字游戏来规避责任——不承认提供‘预填证据’，而是换个说法叫‘模板’，实质上是把责任转嫁给那些直接采用这些‘模板’的客户，”DeepDelver说，“他们还声称自己不是‘出具’报告的一方——如果你把‘出具报告’狭义地定义为最后盖章，这种说法当然成立。”

他们还补充称，有“多项非常严重的指控”完全未被Delve回应，包括：“所谓的印度运作问题、缺乏真正的AI（他们只谈‘自动化’），以及信任页面（笑）上那些从未真正实施的控制措施。”

看起来，DeepDelver并未打算就此收手，他们表示：“第二部分很快会发布。”

此外，在该Substack文章发布后，一位名为James Zhou的 X（原 Twitter）用户称，自己曾成功访问到 Delve 的敏感信息，包括员工背景调查数据和股权归属（vesting）安排。Dvuln创始人Jamieson O’Reilly也分享了更多细节，称其与Zhou的交流涉及“Delve 外部攻击面上存在的多个明显安全漏洞”。

TechCrunch曾向 Delve官网列出的媒体联络邮箱发送邮件以寻求进一步评论，但邮件被退回。不过，在本文发布后，作者却收到了一个本周稍晚举行的“Delve 产品演示”会议邀请。

本文最初发布于 2026 年 3 月 21 日，后续已更新：补充了DeepDelver的邮件回复、Jamieson O’Reilly提供的关于潜在安全漏洞的更多信息，以及 Delve 针对 TechCrunch 的进一步回应细节。

原文链接：

https://techcrunch.com/2026/03/22/delve-accused-of-misleading-customers-with-fake-compliance/

https://deepdelver.substack.com/p/delve-fake-compliance-as-a-service

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。