Delve爆雷!又一家客户惨遭数据泄露
编者按:合规创业公司Delve近来接连爆出猛料,从被匿名举报造假、到引发黑客攻击事件,其信誉正遭受前所未有的质疑。这篇追踪报道以近乎“宫斗”的节奏,逐一揭露Delve如何卷入Context AI数据泄露案、波及应用托管巨头Vercel,并让曾经的信赖者Lovable也陷入尴尬。同时,Lovable自身也承认误将客户数据公开,并忽视了数月前的漏洞报告。更狗血的是,匿名举报者再度爆料,声称Delve一边拒绝客户退款,一边组织全员夏威夷度假。这些细节不仅勾勒出一家创业公司的崩塌轨迹,也提醒我们:在追求速度和规模的同时,合规与诚信才是企业真正的护城河。以下是全文翻译,力求保留原意,同时融入中文爆文叙事节奏。
深陷丑闻的合规创业公司Delve的故事仿佛开启了“永不停歇的转折”模式。
据TechCrunch确认,Delve正是为Context AI进行安全认证的合规公司。Context AI是一家AI代理培训初创公司,上周刚披露了一起安全事件,导致热门应用和网站托管巨头Vercel发生数据泄露。
另一方面,Lovable虽曾遭遇类似安全事件,但现已不再与Delve保持客户关系。
复盘一下:上个月,Delve因一名匿名举报者声称其捏造客户数据、并在合规认证流程中启用“橡皮图章”式审计机构而遭受抨击。Delve对此矢口否认。
不久后,黑客攻击了Delve的安全认证客户之一LiteLLM,在其开源代码中植入了恶意软件。事后,LiteLLM向TechCrunch表示已停止使用Delve,并正在重新获取认证。
Delve还被指控把一款开源工具当作自己的作品使用,却没有提供适当的许可证归属。这家初创公司的声誉因此变得摇摇欲坠,其毕业地Y Combinator也选择紧急切割关系。
时间快进到上周末,Vercel声称黑客入侵了其内部系统并获取了部分客户数据。该公司表示,事件起因是一名员工下载了Context AI制作的应用,并将该应用与Vercel托管在谷歌的企业账户连接。黑客随后利用这名员工的谷歌账户访问权限,侵入了Vercel的部分内部系统。
在Context AI被指向与Vercel攻击有关后,工程技术通讯《The Pragmatic Engineer》的作者Gergely Orosz在X平台发文指出,负责Context AI安全认证的公司正是Delve。
Context AI现已向TechCrunch证实,它确实曾使用Delve,但目前已弃用Delve并正在重新获取认证。
“是的,Context此前是Delve的客户,”Context AI发言人告诉TechCrunch,“在三月针对Delve的报道出现后,我们将合规项目转移至Vanta,并聘请独立审计公司Insight Assurance进行新的审查。作为重新认证的一部分,我们已开始更新公开材料,并会在完成后分享新证明。”该发言人补充道。
安全认证本身并不能阻止安全问题的发生。它的目的是验证公司是否制定了策略和流程,以阻止攻击并降低客户数据被泄露的可能性。
以Lovable为例:它曾是Delve的客户,但在举报人指控曝光后,这家“氛围编程”平台表示其在2025年底就已弃用Delve。该公司称,目前已完成一项安全认证的重新审核,其他几项也正在重新办理中。
然而,Lovable周一承认,它曾无意中公开了客户聊天数据的访问权限。公司还表示,他们在数月前就已收到安全漏洞报告,却未能及时处理。Lovable为自己起初否认存在数据泄露而道歉,但强调问题出在配置错误,而非黑客攻击。
更离奇的消息正围绕Delve发酵。匿名举报者DeepDelver再次发文爆料,声称Delve拒绝向客户退款,却在4月15日至19日期间,带着20多人的团队前往夏威夷进行团建。
举报者向TechCrunch提供了一些令人信服的收据,这些收据似乎佐证了夏威夷之行,但TechCrunch无法证实其余指控。
报道发布后,Delve拒绝置评。
本文由吉伊网原创发布,未经许可,不得转载!
本文链接:http://www.jkiyi.com/kx/21858.html
