深陷困境的新創公司 Delve 再傳客戶遭遇重大安全事故

陷入困境的合規新創公司 Delve 的故事持續出現轉折。

TechCrunch 已證實，Delve 正是為 Context AI 執行安全認證的合規公司。Context AI 是一家 AI 代理訓練新創公司，上週披露了一起安全事件，該事件導致熱門應用程式與網站託管巨頭 Vercel 發生數據洩漏。

另一方面，同樣發生過安全事件的 Lovable 則已不再是 Delve 的客戶。

簡要回顧：上個月，Delve 遭到匿名舉報者抨擊，指控該新創公司偽造客戶數據，並在合規與認證過程中使用「橡皮圖章」式的審計員。Delve 否認了這些指控。

不久之後，駭客攻擊了 Delve 的安全認證客戶之一 LiteLLM，並在其開源代碼中植入了惡意軟體。事件發生後，LiteLLM 告訴 TechCrunch，他們正拋棄 Delve 並重新進行認證。

Delve 還被指控挪用開源工具，並在沒有適當授權標註的情況下將其冒充為自己的作品。該新創公司的聲譽變得搖搖欲墜，促使 Delve 的母校 Y Combinator 與其斷絕關係。

時間來到上週末，Vercel 表示駭客入侵了其內部系統並訪問了部分客戶數據。該公司表示，駭客是在一名員工下載了由 Context AI 開發的應用程式，並將該程式連接到由 Google 託管的 Vercel 公司帳戶後入侵的。駭客濫用了該員工對其 Google 帳戶的訪問權限，進而闖入 Vercel 的部分內部系統。

在 Context AI 於 Vercel 攻擊事件中被點名後，工程電子報《The Pragmatic Engineer》的作者 Gergely Orosz 在 X 上發文表示，Delve 正是負責 Context AI 安全認證的公司。

Context AI 現已向 TechCrunch 證實，該公司確實曾使用 Delve，但此後已拋棄該新創公司，目前正在重新進行認證。

Context AI 的發言人告訴 TechCrunch：「是的，Context 此前曾是 Delve 的客戶。在 3 月份出現有關 Delve 的報導後，我們將合規計畫轉移到了 Vanta，並聘請了獨立審計公司 Insight Assurance 進行新的審查。作為重新審查的一部分，我們開始更新公開資料，並將在完成後分享新的證明文件。」

安全認證本身並不能阻止安全問題。它們旨在驗證公司是否具備相應的政策和流程，以阻礙攻擊並降低客戶數據遭洩漏的可能性。

一個典型的例子是：Lovable 曾是 Delve 的客戶，但在舉報者的指控曝光後，這家「氛圍編程」（vibe-coding）平台表示已在 2025 年底（原文誤植，應為 2024 年底）拋棄了該新創公司。該公司表示，已經重新完成了一項安全認證，並正在重新辦理其他認證。

儘管如此，Lovable 週一承認，該公司不慎公開分享了客戶聊天數據的訪問權限。該公司還表示，它曾忽視了幾個月前提醒該問題的漏洞報告。Lovable 為最初否認存在數據洩漏而道歉，儘管它表示該問題是由配置錯誤而非駭客攻擊引起的。

圍繞著 Delve 還有更奇怪的消息。匿名舉報者 DeepDelver 發布了另一篇貼文，指控 Delve 拒絕向客戶退款，卻仍在 4 月 15 日至 4 月 19 日期間帶領其 20 多人的團隊前往夏威夷舉行異地會議。

舉報者向 TechCrunch 分享了一些極具說服力的憑據，為所謂的夏威夷之行增添了可信度，但 TechCrunch 無法證實其他指控。

Delve 未回應置評和證實的要求，發送到其媒體關係信箱的郵件也被退回。