Berättelsen om Delve, en startup som står inför problem med efterlevnad, har många vändningar.
TechCrunch har bekräftat att Delve är det efterlevnadsföretag som tillhandahållit säkerhetscertifiering för Context AI. Context AI är en startup för utbildning av AI-agenter som avslöjade en säkerhetsincident som ledde till ett dataintrång hos populära app- och webbplatsvärdjätten Vercel förra veckan.
Samtidigt är Lovable inte längre kund hos Delve på grund av sin egen säkerhetsincident.
För att sammanfatta, kom Delve under eld förra månaden efter att en anonym whistleblower påstod att den förfalskade kunddata och använde revisorer för att gummistämpla sina efterlevnads- och certifieringsprocesser. Herr Derbe förnekar dessa anklagelser.
Kort därefter attackerade hackare LiteLLM, en av Delves säkerhetscertifierade kunder, och bäddade in skadlig programvara i sin öppna källkod. Efter incidenten berättade LiteLLM för TechCrunch att Delve har gått i pension och håller på att omcertifieras.
Delve anklagades också för att ha tagit verktyg med öppen källkod och framställt dem som proprietära verk utan korrekt licenstillskrivning. Startupens rykte var i fara och Y Combinator, som Delve tog examen från, avslutade sitt partnerskap med företaget.
Förra helgen meddelade Vercel att hackare hade infiltrerat dess interna system och fått åtkomst till vissa kunddata. Företaget sa att hackaren fick inträde efter att en anställd laddade ner en app gjord av Context AI och kopplade den till ett Google-värdat Vercel-företagskonto. Hackare utnyttjade tillgången till medarbetarens Google-konto för att bryta sig in i några av Vercels interna system.
Efter att Context AI namngavs i Vercel-attacken sa Gergely Orosz, författare till det tekniska nyhetsbrevet The Pragmatic Engineer, i ett inlägg på X att Delve var företaget som ansvarade för Context AI:s säkerhetscertifiering.
Context AI bekräftade för TechCrunch att den använde Delve, men har sedan dess avbrutit uppstarten och håller på att omcertifiera den.
”Ja, Context var tidigare kund till Delve,” sa en talesperson för Context AI till TechCrunch. ”Efter nyhetsbevakningen av Delve i mars flyttade vi vårt efterlevnadsprogram till Vanta och anlitade Insight Assurance, ett oberoende revisionsföretag, för att genomföra en ny utredning. Som en del av granskningen har vi börjat uppdatera vår offentliga dokumentation och kommer att dela med oss av nya intyg när de är klara”, tillade talespersonen.
Enbart säkerhetscertifieringar kan inte förhindra säkerhetsproblem. Dessa syftar till att validera att företag har policyer och processer på plats för att motverka attacker och minska sannolikheten för att kunddata äventyras.
Exempel: Lovable var en Delve-kund, men efter att ett klagomål från en whistleblower kom fram, meddelade vibe-kodningsplattformen att den lämnar startupen i slutet av 2025. Företaget har redan slutfört en säkerhetscertifiering och håller på att göra om andra.
Ändå erkände LaBable i måndags att de oavsiktligt hade delat åtkomst till kundchattdata offentligt. Företaget sa också att det hade avfärdat en sårbarhetsrapport som gjorde det uppmärksammat på problemet för flera månader sedan. LaBable förnekade först att det hade skett ett dataintrång, men bad senare om ursäkt och sa att problemet orsakades av en felkonfiguration, inte hacking.
Mer bisarra nyheter virvlar runt i Delve. Anonyma whistleblower DeepDelver publicerade ett annat inlägg som påstod att Delve tog med ett team på mer än 20 personer till möten utanför platsen som hölls på Hawaii från 15 april till 19 april, trots att han vägrade att återbetala kunder.
Whistlebloweren delade några övertygande kvitton med TechCrunch som ger tilltro till den påstådda Hawaii-resan, men TechCrunch kunde inte bekräfta några andra påståenden.
Delve svarade inte på förfrågningar om kommentarer och bekräftelse, och e-postmeddelanden som skickades till dess mediarelationsadress studsade.
Om du köper via länkar i våra artiklar kan vi tjäna en liten provision. Detta påverkar inte vårt redaktionella oberoende.
