陷入困境的初创公司Delve的另一位客户遭遇重大安全事件

陷入困境的合规初创公司Delve的故事一直一波三折。

TechCrunch已确认Delve是为Context AI进行安全认证的合规公司，Context AI是一家人工智能代理培训初创公司，上周披露了一起安全事件，导致主流应用程序和网站托管巨头Vercel发生数据泄露。

另一方面，发生过安全事件的Lovable不再是Delve客户。

回顾一下：上个月，一位匿名举报人指控Delve初创公司伪造客户数据，并在合规和认证流程中使用橡皮图章审计员，因此该公司受到了批评。德尔夫否认了这些指控。

不久之后，黑客攻击了Delve的安全认证客户LiteLLM，并在其开源代码中植入了恶意软件。事件发生后，LiteLLMtold TechCrunchit放弃了Delve并重新获得认证。

Delve还被指控采用开源工具，并在没有适当许可归属的情况下将其冒充为自己的作品。这家初创公司的声誉日渐岌岌可危，促使Delve毕业的Y Combinator断绝了合作关系。

时间快进到上周末，Vercel表示黑客已经入侵了其内部系统并访问了一些客户数据。该公司表示，一名员工下载了Context AI制作的应用程序并将该应用程序连接到由Google托管的Vercel公司帐户后，黑客入侵了该应用程序。黑客滥用该员工对其Google帐户的访问权限，闯入了Vercel的一些内部系统。

Context AI在Vercel攻击中被点名后，工程通讯《The Pragmatic Engineer》的作者Gergely Orosz在X上发帖称，Delve是处理Context AI安全认证的公司。

Context AI现在已向TechCrunch确认它确实使用了Delve，但后来它放弃了这家初创公司，并且正在重新获得认证。

“是的，Context以前是Delve客户，”Context AI的发言人告诉TechCrunch。 “继3月份有关Delve的报道之后，我们将合规计划转移到了Vanta，并聘请独立审计公司Insight Assurance进行新的检查。作为重新检查的一部分，我们开始更新我们的公开材料，并在完成后分享新的证明，”发言人补充道。

安全认证本身并不能解决安全问题。它们的目的是验证公司是否制定了适当的政策和流程来阻止攻击并减少客户数据被泄露的可能性。

举个例子：Lovable是Delve的客户，但在举报人的指控曝光后，vibe编码平台表示已于2025年底放弃了这家初创公司。该公司表示，该公司已经重新完成了一项安全认证，并且正在重新进行其他认证。

尽管如此，Lovable onMonday承认它无意中公开共享了对客户聊天数据的访问权限。该公司还表示，它已经驳回了几个月前提醒该公司注意该问题的漏洞报告。 Lovable为最初否认存在数据泄露而道歉，但表示问题是由配置错误而不是黑客攻击引起的。

Delve周围还流传着更奇怪的消息。匿名举报者DeepDelver又发布了另一篇帖子，指控Delve拒绝向客户退款，但仍带领其20多人的团队于4月15日至4月19日在夏威夷参加了一次场外会议。

举报人与TechCrunch分享了一些令人信服的收据，这些收据为所谓的夏威夷之旅提供了可信度，但TechCrunch无法证实其他说法。

Delve没有回应置评和确认请求，发送到其媒体关系地址的电子邮件也被退回。