安全认证公司Delve被曝多项漏洞导致多家企业数据泄露

关键信息

Delve被指控伪造客户数据、使用敷衍审计人员，甚至将开源工具冒充自有作品。匿名举报人还称其拒绝退款却组织团队赴夏威夷团建——但部分说法尚未核实。

资讯摘要

Delve是一家曾与Context AI、LiteLLM等知名企业合作的合规初创公司，如今卷入多起安全事故。匿名举报人指控其伪造认证信息、忽视真实漏洞。在此之后，Lovable和Context AI均终止与Delve的合作，并转向独立机构如Vanta和Insight Assurance重新认证。

Vercel最近的数据泄露事件——由员工下载Context AI的恶意应用引发——也被追溯至Delve的认证流程。尽管Delve否认指控，但其声誉已受损，Y Combinator也与其断绝关系，内部矛盾浮出水面。

资讯正文

陷入困境的合规初创公司Delve的又一位客户遭遇了重大安全事件。

这家名为Context AI的人工智能代理训练初创公司上周披露了一起安全事件，导致知名应用和网站托管巨头Vercel发生数据泄露。TechCrunch已确认，Delve正是为Context AI提供合规认证服务的公司。

另一方面，曾遭遇自身安全事件的Lovable公司目前已不再是Delve的客户。

回顾一下：上个月，Delve因匿名举报者指控其伪造客户数据，并在合规与认证流程中使用“盖章式”审计员而遭到批评。Delve对此类指控予以否认。

随后，黑客攻击了Delve的一家安全认证客户LiteLLM，并在其开源代码中植入恶意软件。事件发生后，LiteLLM告诉TechCrunch，他们决定终止与Delve的合作并重新进行认证。

Delve还被指窃取了一个开源工具，未经适当授权即声称是自己的成果。该公司声誉受损，促使它曾就读的创业加速器Y Combinator与其断绝关系。

到了上周末，Vercel表示黑客入侵了其内部系统并获取了一些客户数据。该公司称，黑客是在一名员工下载了由Context AI开发的应用程序，并将该应用连接到托管于Google的企业账户后，利用该员工对Google账户的访问权限进入部分Vercel内部系统的。

在Context AI被牵连进Vercel的攻击事件后，工程博客《务实工程师》（The Pragmatic Engineer）作者Gergely Orosz在X平台上发文指出，Delve正是负责Context AI安全认证的公司。

目前，Context AI已向TechCrunch证实曾使用Delve的服务，但现已停止合作，并正在重新申请认证。

“是的，Context AI此前曾是Delve的客户，”Context AI的一位发言人告诉TechCrunch，“在三月关于Delve的报道发布后，我们已将合规项目转交给Vanta，并聘请独立审计机构Insight Assurance开展新的审查。作为重新审查的一部分，我们已经开始更新公开材料，待完成时会公布新的认证结果。”

仅靠安全认证并不能阻止安全问题的发生；它们旨在验证一家公司是否具备政策和流程来防范攻击、降低客户数据泄露的可能性。

以Lovable为例，尽管它曾是Delve的客户，但在举报人爆料之后，这家 vibe-coding 平台表示早在2025年底就已终止合作。该公司称，已重新完成一项安全认证，并正在重新处理其他认证事项。

然而，Lovable公司在周一承认，它意外地将客户聊天数据的访问权限公开了。该公司还表示，它曾忽视了数月前就已警告其存在漏洞的报告。Lovable为最初否认发生数据泄露道歉，尽管该公司称问题是由配置错误引起，而非黑客攻击。

围绕Delve公司还有更奇怪的消息。匿名举报人DeepDelver发布了一篇新帖，指控Delve拒绝向客户退款，却仍带着超过20人的团队于4月15日至4月19日前往夏威夷举行外出会议。

该举报人向TechCrunch提供了部分有说服力的收据，佐证了所谓夏威夷之旅的真实性，但TechCrunch无法核实其他相关指控。

报道发布后，Delve拒绝置评。

来源与参考

1. 原始链接
2. Another customer of troubled startup Delve suffered a big security incident | TechCrunch