陷入合規風波的初創公司 Delve 持續爆出新發展。TechCrunch 證實,Delve 正是為 AI 代理訓練初創 Context AI 進行安全認證的合規公司。Context AI 上週披露安全事件,導致熱門應用程式及網站託管巨頭 Vercel 發生數據洩露。另一方面,曾爆安全事件的 Lovable 已不再是 Delve 客戶。
多宗安全事件牽連 Delve
上月,匿名舉報人指控 Delve 偽造客戶數據,並使用形式主義審核員處理合規及認證流程,Delve 否認相關指控。不久後,黑客攻擊 Delve 一名安全認證客戶 LiteLLM,並在其開源代碼中植入惡意軟件。事件後,LiteLLM 向 TechCrunch 表示,將棄用 Delve 並重新認證。Delve 亦被指控將開源工具據為己有,卻未正確標註許可證。公司聲譽動搖,促使其畢業於 Y Combinator 的加速器斷絕關係。
上週末,Vercel 公布黑客入侵內部系統,存取部分客戶數據。公司指,黑客透過員工下載 Context AI 製作的應用程式,並將其連接到託管於 Google 的 Vercel 企業帳戶而入侵。黑客濫用該員工 Google 帳戶權限,滲透 Vercel 部分內部系統。Context AI 被點名後,工程通訊《The Pragmatic Engineer》作者 Gergely Orosz 在 X 平台發文,指 Delve 負責 Context AI 的安全認證。
Context AI 向 TechCrunch 確認,曾使用 Delve 服務,但現已轉用 Vanta,並聘請獨立審計公司 Insight Assurance 進行新審核。「Context AI 之前是 Delve 客戶,」發言人表示。「三月 Delve 相關報導後,我們轉移合規計劃至 Vanta,並展開新審核,現正更新公開資料,待完成後公布新認證。」安全認證僅驗證公司政策及流程,旨在阻礙攻擊並降低客戶數據洩露風險,並非絕對保障。
以 Lovable 為例,該 vibe-coding 平台雖為 Delve 客戶,但舉報曝光後稱於 2025 年底已棄用,並重新完成一項認證,餘下項目亦在進行中。 儘管如此,Lovable 上週一承認,意外公開分享客戶聊天數據,並忽略數月前漏洞報告。公司為最初否認數據洩露道歉,強調問題源於配置錯誤,而非黑客攻擊。 Delve 周邊還有更怪聞。匿名舉報人 DeepDelver 再發帖,指 Delve 拒絕客戶退款,卻於 4 月 15 至 19 日帶逾 20 人團隊赴夏威夷閉門會議。
舉報人分享收據予 TechCrunch,支持夏威夷行指控,但其他說法未能獨立核實。Delve 未回應置評要求,其媒體聯絡電郵亦已退信。
