合規新創公司 Delve 被指控以虛假合規誤導客戶

本週發布的一篇匿名 Substack 文章指控合規新創公司 Delve「虛假地」說服「數百名客戶相信他們符合」隱私與安全法規，這可能使這些客戶面臨「HIPAA 下的刑事責任以及 GDPR 下的高額罰款」。

Delve 是一間獲得 Y Combinator 支持的新創公司，去年宣布以 3 億美元的估值完成了 3,200 萬美元的 A 輪融資（該輪融資由 Insight Partners 領投）。週五，這家新創公司在其部落格上試圖反駁這些指控，稱該 Substack 文章具有「誤導性」，並表示其中「包含多項不實指控」。

該 Substack 文章署名為「DeepDelver」，自稱在一家（現已成為前客戶的）Delve 客戶公司工作。在回覆 TechCrunch 的電子郵件詢問時，DeepDelver 表示，他們及其合作者「出於擔心受到 Delve 報復而選擇保持匿名」。

DeepDelver 在文章中回憶，他們在 12 月收到一封電子郵件，聲稱該新創公司「洩露了一份包含機密客戶報告的試算表」。雖然 Delve 執行長 Karun Kaushik 隨後在電子郵件中向客戶保證他們符合合規要求，且沒有外部第三方獲得敏感數據，但 DeepDelver 表示，他們和其他客戶已產生懷疑。

他們寫道：「由於大家對 Delve 的體驗都感到不滿，且總體感覺有些不對勁，我們決定整合資源並共同展開調查。」

他們的結論是：Delve「透過製作虛假證據、代表那些只會蓋章了事的認證機構生成審計結論，並在告知客戶已達到 100% 合規的同時跳過主要的框架要求，從而實現其宣稱的『最快平台』。」

DeepDelver 詳細闡述了這些指控，指責該新創公司向客戶提供「從未發生過的董事會會議、測試和流程的偽造證據」，然後強迫這些客戶「在採用虛假證據或在幾乎沒有真正自動化或 AI 的情況下進行大量手動工作之間做出選擇」。

DeepDelver 還聲稱，幾乎所有 Delve 的客戶似乎都經過了 Accorp 和 Gradient 這兩家審計公司的審核，他將這兩家公司描述為「同一運作體系的一部分」，主要在印度運作，在美國僅有象徵性的存在。

他們表示，這些公司只是對 Delve 生成的報告進行「橡皮圖章式」的蓋章。因此，DeepDelver 表示該新創公司「倒置」了正常的合規結構：「透過在任何獨立審查發生之前生成審計結論、測試程序和最終報告，Delve 將自己置於執行者和審查者的雙重角色。這不是技術細節問題，而是一種使整個證明失效的結構性欺詐。」

除了指控 Delve 誤導客戶外，DeepDelver 還表示，該新創公司正透過「託管包含從未實施過的安全措施的信任頁面（trust pages）」，協助這些客戶「誤導公眾」。

DeepDelver 表示，當他們的公司正在與 Delve 討論問題時，該新創公司「給我們送了好幾盒甜甜圈……以安撫我們」。儘管如此，DeepDelver 的雇主據稱已撤下了其信任頁面，不再依賴該新創公司進行合規作業。

Delve 對這些指控做出回應，表示其根本不發布合規報告。相反，它是一個「自動化平台」，負責接收有關合規的信息，然後為審計師提供訪問這些信息的權限。

該公司表示：「最終報告和意見僅由獨立的、獲得許可的審計師發布，而非 Delve。」

Delve 還表示，其客戶「可以選擇與自己選擇的審計師合作，或選擇與 Delve 獨立、認可的第三方審計師網絡中的成員合作」。該新創公司表示，這些審計師是「在整個行業廣泛使用的成熟公司，包括其他合規平台也在使用」。

針對提供客戶「虛假證據」的指控，Delve 反駁稱，它只是提供「模板以幫助團隊根據合規要求記錄其流程，其他合規平台也是如此」。

該公司表示：「草擬模板與『預填證據』並不相同。」

Delve 補充說，它正「積極調查任何洩漏事件」，並且「仍在審查該 Substack 文章」。

當被問及 Delve 的回應時，DeepDelver 告訴 TechCrunch，他們對此感到「困惑，因為其回應既懶散、笨拙又厚顏無恥」。

DeepDelver 表示：「他們試圖透過否認擁有『預填證據』而將其稱為『模板』來逃避責任，實際上是將採用『原樣模板』的責任推給客戶。他們聲稱自己不是『發布』報告的人，如果你將發布報告定義為提供最終蓋章，那這很容易聲稱。」

他們補充說，Delve 完全沒有回應「多項非常嚴重的指控」：「關於印度的指控、缺乏 AI（他們只談論『自動化』），以及信任（笑）頁面包含從未實施過的控制措施。」

顯然 DeepDelver 的批評尚未結束，因為他承諾：「第二部分很快就會發布。」

此外，在最初的 Substack 文章發布後，一位名為 James Zhou 的 X 用戶表示，他們能夠從 Delve 獲取敏感信息，例如員工背景調查和股權歸屬表。Dvuln 創辦人 Jamieson O’Reilly 分享了更多細節，據 O’Reilly 稱，這是與 Zhou 關於「Delve 外部攻擊面中幾個巨大安全漏洞」的對話內容。

TechCrunch 向 Delve 網站上列出的媒體聯繫地址發送了電子郵件尋求進一步評論。郵件被退回，但在本文發表後，我收到了一份本週晚些時候「Delve 演示」的日曆邀請。

本文最初發表於 2026 年 3 月 21 日。現已根據 DeepDelver 的郵件回覆、Jamieson O’Reilly 提供的關於所謂安全漏洞的補充信息，以及關於 Delve 對 TechCrunch 回應的更多細節進行了更新。