一名匿名 Substack 发布者本周指控合规初创企业 Delve 向数百名客户伪造合规证明。该指控声称客户可能面临 HIPAA 刑事处罚和 GDPR 巨额罚款。Delve 作为 Y Combinator 扶持项目,去年完成 3200 万美元融资,拥有 3 亿美元估值,此次事件发生在 2026 年 3 月。此次事件可能影响其声誉。
匿名发布者自称为“DeepDelver”,曾在 Delve 客户公司工作。由于担心报复,该人士选择匿名披露内部情况。其在文章中提到,收到声称泄露报表的邮件后,客户对高管承诺感到怀疑。DeepDelver 表示客户体验令人失望,感觉事情蹊跷,遂决定联合调查。
DeepDelver 指出 Delve 通过生成虚假证据来快速完成认证。其中包括制造从未发生过的董事会会议记录及测试流程。客户被迫在采用伪造证据或手动工作之间做出选择。DeepDelver 还提到,Delve 曾送多箱甜甜圈试图安抚客户,但未解决问题。
文章还提到两家审计机构 Accorp 和 Gradient 被指为同一运营实体的分支机构。DeepDelver 认为这些机构仅对 Delve 生成的报告进行盖章确认。DeepDelver 指出这些机构主要在印度运营,在美国仅有名义存在。这种结构被描述为将实施者与审查者角色合并的结构性欺诈。
信任页面上展示的安全措施从未实施,DeepDelver 认为这误导了公众。Delve 在客户讨论问题期间曾送多箱甜甜圈试图安抚客户。DeepDelver 表示其雇主已取消信任页面,不再依赖该初创企业。这显示出客户对平台信任度的严重下降。
Delve 首席执行官 Karun Kaushik 通过官方博客回应了上述指控。公司称其不直接出具合规报告,仅提供信息供独立审计师查阅。Delve 表示最终报告由持牌审计师独立发布,拒绝承认伪造证据。公司称审计师是行业广泛使用的独立机构,并非独家合作。
针对模板争议,Delve 解释称提供的仅为辅助文档的草稿。DeepDelver 反驳称这是试图将责任转嫁给客户的策略。该发布者认为 Delve 的回应显得笨拙且缺乏诚意,有效推卸责任。DeepDelver 称 Delve 试图通过重新定义“出具报告”来逃避问责。
DeepDelver 称 Delve 未解决核心指控,包括印度审计机构指控及缺乏真实 AI 问题。DeepDelver 强调存在多项严重指控,Delve 并未正面回应。DeepDelver 表示后续将发布第二部分内容以提供更多证据。该发布者认为 Delve 正在试图逃避问责。
此外,X 用户 James Zhou 声称获取了 Delve 的敏感信息。Dvuln 创始人 Jamieson O'Reilly 确认了外部攻击面存在安全漏洞。这加剧了外界对平台数据保护能力的担忧,涉及员工背景调查等数据。O'Reilly 透露了与 Zhou 的对话细节,称存在多个严重安全漏洞。
TechCrunch 联系 Delve 寻求评论未果。业界将密切关注此事的后续发展及其对行业规范的影响。合规自动化行业正面临信任危机,客户依赖第三方工具管理隐私安全已成常态。若指控属实,将引发对自动化审计流程有效性的广泛质疑。市场反应将成为衡量行业健康度的重要指标。
