【编者按】在数字化浪潮席卷全球的今天,数据合规与隐私安全已成为企业生存的“生命线”。然而,当一家备受资本青睐、估值数亿美元的合规初创公司,被匿名指控以“伪造证据”“操纵审计”等方式,让数百家客户陷入可能面临法律重罚的风险时,这不仅是商业伦理的崩塌,更是对整个科技监管信任体系的一记重击。本文揭露的不仅是一家公司的操作疑云,更折射出在AI与自动化包装下,合规行业可能存在的深层漏洞与监管盲区。当技术创新与道德底线发生碰撞,我们该如何甄别真伪,守护数据时代的“信任基石”?以下为事件深度报道。
本周,一篇匿名发布于Substack的文章指控合规初创公司Delve“虚假”说服“数百名客户”其已符合隐私与安全法规,可能导致这些客户面临“HIPAA下的刑事责任及GDPR下的巨额罚款”。
Delve是一家获得Y Combinator支持的初创公司,去年曾宣布以3亿美元估值完成3200万美元的A轮融资(本轮由Insight Partners领投)。周五,该公司试图在其博客上反驳这些指控,称Substack文章“具有误导性”,并“包含大量不实陈述”。
Substack文章作者署名为“DeepDelver”,自称曾就职于一家Delve客户(现已终止合作)。在回复TechCrunch的邮件问询时,DeepDelver表示,他们及其合作者“因担心遭到Delve报复而选择匿名”。
DeepDelver在文章中回忆,去年12月收到一封邮件,称Delve“泄露了一份包含机密客户报告的电子表格”。尽管Delve首席执行官Karun Kaushik在后续邮件中向客户保证他们符合合规要求,且无外部方获取敏感数据,但DeepDelver称自己及其他客户已心生疑虑。
“由于都对Delve的服务体验感到失望,并整体感觉事有蹊跷,我们决定整合资源,共同调查。”他们写道。
他们的结论是什么?Delve“通过制造虚假证据、代表‘盖章工厂’式的认证机构生成审计结论、跳过主要框架要求同时告诉客户他们已实现100%合规,来实现其‘最快平台’的宣称”。
DeepDelver对这些指控进行了相当详细的阐述,指责该公司向客户提供“虚构的董事会会议、测试及流程证据(这些均未实际发生)”,然后迫使客户“在采用虚假证据与执行大部分手动工作(几乎没有真正的自动化或AI)之间做出选择”。
DeepDelver还声称,几乎Delve的所有客户似乎都经过两家审计公司——Accorp和Gradient的审计,他们描述这两家公司“实为同一运营体”,主要业务在印度,在美国仅设有名义上的办事处。
他们表示,这些公司只是对Delve生成的报告进行“橡皮图章”式盖章。因此,DeepDelver称Delve“颠覆”了正常的合规结构:“通过在独立审计发生之前就生成审计结论、测试程序和最终报告,Delve将自己同时置于实施者和审查者的角色。这不是技术细节问题,而是一种使整个认证无效的结构性欺诈。”
除了指控Delve误导客户,DeepDelver还表示,该公司通过托管包含从未实施的安全措施的信任页面,帮助客户“误导公众”。
DeepDelver称,当他们公司正与Delve讨论其问题时,Delve“给我们寄了多盒甜甜圈[…]以保持我们的满意”。尽管如此,DeepDelver的雇主据称已撤下其信任页面,并不再依赖Delve进行合规管理。
Delve对此指控回应称,其根本不发布合规报告。相反,它是一个“自动化平台”,负责录入合规信息,然后向审计师提供该信息的访问权限。
“最终报告和意见仅由独立的、持牌审计师出具,而非Delve。”公司表示。
Delve还表示,其客户“可以选择与自己选定的审计师合作,或选择与Delve网络中的独立、认证第三方审计公司合作”。该公司称,这些审计师是“行业内广泛使用的成熟公司,其他合规平台也在使用”。
针对提供“虚假证据”的指控,Delve反驳称,它只是提供“模板,以帮助团队根据合规要求记录其流程,其他合规平台也是如此”。
“草案模板与‘预填证据’不同。”公司表示。
Delve补充说,正在“积极调查任何泄露事件”,并且“仍在审阅该Substack文章”。
当被问及Delve的回应时,DeepDelver告诉TechCrunch,他们“对其回应的懒惰、笨拙和厚颜无耻感到困惑”。
“他们试图通过否认有‘预填证据’而称其为‘模板’来逃避责任,实际上是将采用‘模板’的责任推给客户。”DeepDelver说,“他们声称自己不是‘出具’报告的一方,如果你将出具报告定义为提供最终盖章,这很容易声称。”
他们补充说,Delve完全没有回应“一些非常严重的指控”:“关于印度的指控、缺乏AI(他们只谈‘自动化’),以及信任页面包含从未实施的控制措施(呵呵)。”
显然DeepDelver的批评尚未结束,他们承诺:“第二部分即将发布。”
此外,在最初的Substack文章发布后,一位名为James Zhou的X用户表示,他们能够获取Delve的敏感信息,例如员工背景调查和股权归属计划。Dvuln创始人Jamieson O'Reilly分享了更多细节,据称来自与Zhou关于“Delve外部攻击面中几个巨大安全漏洞”的对话。
TechCrunch向Delve官网列出的媒体联系邮箱发送邮件寻求进一步评论。邮件被退回,但在本文发布后,笔者收到了本周晚些时候“Delve演示”的日历邀请。
