圍繞 Delve 的爭議似乎已經影響到這家合規初創公司的發展,造成其與加速器 Y Combinator 的關係破裂。目前,Delve 不再在 YC 的投資公司名錄中列出,其專頁似乎已從 YC 的網站上刪除。此外,Delve 的首席運營官 Selin Kocalar 在社交平台 X 上發文稱「YC 和 Delve 已經分道揚鑣」。Kocalar 回憶起他們在麻省理工學院參加 YC 面試的那一天,並感謝社群及所結識的每位創始人朋友。
Y Combinator 不是第一家與 Delve 除名的投資者。Insight Partners 似乎也已刪除有關其對該公司的投資的帖子,雖然其主要博客文章後來又恢復了。與此同時,Delve 仍然在反駁匿名的指控,該指控聲稱該公司在告訴客戶其符合隱私和安全法規的同時,卻跳過了重要的要求,甚至自動生成報告以滿足「認證工廠」的標準。
這些指控最初是由一位名為「DeepDelver」的匿名用戶發表的,他自稱是一名 Delve 的前客戶,在收到有關該公司的客戶數據洩露後開始感到懷疑。DeepDelver 隨後發表了多篇文章,分享了他們所謂的 Slack 消息和公司視頻,並指控 Delve 將一個開源工具當作自己的產品,而未給予開發者任何信用或達成協議。一位安全研究人員也表示他能夠訪問 Delve 的敏感數據。
在與此事件相關的另一個爭議中,Delve 客戶 LiteLLM 的一個開源項目中發現了惡意軟件。最近的博客文章中,Delve 的 COO Kocalar 和 CEO Karun Kaushik 宣布他們的意圖是「澄清有關匿名攻擊的事實」。他們聲稱該公司已聘請了一家網絡安全公司來幫助理解事件發生的原因,並表示「證據顯示這是一場惡意攻擊,而非真正的舉報者所為」。
他們指出,似乎有攻擊者以虛假身份購買 Delve,惡意外洩數據,包括 Delve 的內部公司數據,並利用這些數據發起了一場針對該公司的協調抹黑運動。博客中還附有一張截圖,顯示攻擊者通過 file.io 下載他們的審計追蹤電子表格。除了這一指控,Delve 還將 DeepDelver 的批評描述為「一系列虛構的主張、挑選的截圖以及脫離上下文的數據」。例如,他們表示 DeepDelver「否定了我們的 AI,同時承認它自動化了 70% 的安全問卷」。
在使用開源工具的問題上,Delve 表示其「基於 Apache 2.0 開源庫進行開發,該許可明確允許商業用途,並對其進行了大幅重構,以適應合規場景」。然而,這些高層也表示,他們正在採取措施以確保客戶對其平台及合規結果充滿信心。這些措施包括清理公司的網絡,移除「不符合我們標準」的審計公司,並「向所有活躍客戶提供免費重新審計和滲透測試」,同時明確表示 Delve 的模板,如董事會會議記錄,「僅為起始點」。
在社交平台 X 上,Kaushik 重申了許多相同的觀點,並表示「我們成長太快,未能達到自己的標準。對於給客戶帶來的困擾,我們深感抱歉。」TechCrunch 已聯繫 Y Combinator 和 DeepDelver,以獲取他們對 Delve 評論的回應。
