堆代码讯 近期，围绕美国 AI 合规初创公司 Delve 的信任风波持续升级，最终导致这家曾备受资本追捧的创业公司，与知名创业孵化器 Y Combinator（YC）正式终止了合作关系。这场由匿名举报引发的争议，不仅让这家估值 3 亿美元的初创公司陷入舆论漩涡，也为快速发展的 AI 合规自动化行业敲响了警钟。

合作终止：YC 与争议公司切割

目前，Delve 的名字已经从 Y Combinator 的投资组合公司名录中彻底消失，其专属的公司页面也已从 YC 官网移除。Delve 首席运营官 Selin Kocalar 在 X 平台（原 Twitter）的发帖，正式确认了双方的分离：“YC 与 Delve 已经分道扬镳”。在帖子中，Kocalar 也流露出对这段合作的惋惜：“我仍然记得我们在麻省理工学院参加 YC 面试的那一天，我们非常感谢这个社区以及我们结识的每一位创始人朋友。”

这并非第一家与 Delve 保持距离的投资方。在此之前，领投 Delve 3200 万美元 A 轮融资的风投机构 Insight Partners，曾一度删除了官宣投资该公司的相关博文，尽管该文章后续被恢复，但这一动作已经透露出投资方对争议的谨慎态度。要知道，在争议爆发前，Delve 刚刚凭借 “AI 加速合规” 的故事完成融资，估值一度达到 3 亿美元，是创投圈眼中的明星初创公司。

匿名举报：撕开合规造假的疑云
这场风波的起点，是一篇署名为 “DeepDelver” 的匿名 Substack 文章。作者自称是 Delve 的前客户，在收到 Delve 客户数据泄露的相关邮件后，对这家公司的服务产生了怀疑，随后联合其他客户展开了调查。在这篇文章以及后续的多篇爆料中，DeepDelver 提出了一系列尖锐的指控，直指 Delve 的合规服务存在根本性的造假问题：
1. 合规流程造假：Delve 跳过了关键的合规审核要求，依赖所谓 “只管盖章的认证工厂” 自动生成审计报告，却向客户谎称他们已经满足隐私与安全法规要求。安全研究机构 IANS 在核查相关文件后发现，Delve 的 494 份 SOC 2 审计报告中，有 493 份使用了几乎完全相同的模板内容，甚至连相同的语法错误都完全一致，所谓的独立审计不过是走流程盖章。
2. 开源工具冒充自研：DeepDelver 指控 Delve 将开源工具 SimStudio 修改后，冒充为自己开发的无代码工具 Pathways 向客户展示，既没有标注原开发者的署名，也没有与原开发者达成任何许可协议。讽刺的是，开源工具的开发方 [Sim.ai](Sim.ai)，本身还是 Delve 的付费客户，两家公司同样是 YC 的校友企业。
3. 自身安全漏洞百出：一名安全研究员发现，Delve 自身的系统存在严重漏洞，攻击者可以轻易访问到该公司的员工背景调查、股权安排等敏感内部数据，这与它对外宣传的安全合规能力形成了鲜明反差。

除此之外，Delve 还意外卷入了开源项目 LiteLLM 的恶意软件事件，进一步加剧了市场对其业务能力的质疑。

公司回应：称遭遇恶意抹黑，承诺补救

面对铺天盖地的指控，Delve 的管理层选择了强硬回应，同时推出了一系列补救措施试图挽回客户信任。在公司最新的官方博客中，首席运营官 Kocalar 和首席执行官 Karun Kaushik 表示，他们希望 “澄清事实，回应匿名攻击”。他们声称，公司已经聘请了专业的网络安全公司调查事件，而调查结果 “证据指向这是一次恶意攻击，而非真正的举报人”。

“似乎是一名攻击者以虚假借口获取了 Delve 的服务，恶意窃取了数据（包括 Delve 的内部公司数据），并利用这些数据对我们发起了协同抹黑行动，” 两人在博文中写道，还附上了一张声称能证明攻击者窃取公司审计跟踪表格的截图。

对于具体的指控，Delve 也逐一进行了辩解：他们将 DeepDelver 的批评描述为 “捏造指控、断章取义截图以及脱离背景的数据的混合体”，比如举报人一边承认 Delve 的 AI 可以自动化完成 70% 的安全问卷，一边却贬低公司的 AI 技术；针对开源工具的争议，Delve 则表示，其产品基于 Apache 2.0 开源代码库开发，该许可明确允许商业用途，而且公司已经针对合规场景对代码进行了大量重构。

与此同时，Delve 也推出了一系列补救措施，试图安抚客户：清理公司的审计合作网络，剔除 “不符合我们标准” 的审计机构；为所有活跃客户提供免费的重新审计和渗透测试；同时明确告知客户，公司提供的董事会会议纪要等模板，“仅是作为起点来设计的”，并非最终的合规文件。

Delve 的 CEO Kaushik 也在 X 平台的帖子中坦诚了公司的问题：“我们增长太快，未能达到我们自己的标准。对于给客户带来的不便，我们深表歉意。”

行业反思：速度与信任的平衡

这场风波，不仅让 Delve 从明星初创沦为争议公司，也让整个 AI 合规自动化行业开始反思。近年来，随着全球隐私监管的收紧，企业对合规的需求激增，AI 合规自动化成为创投的热门赛道，不少公司都在主打 “几天内完成合规” 的速度优势，试图取代传统耗时数周的审计流程。但 Delve 的争议显示，当企业为了追求速度而牺牲合规的真实性与独立性时，所谓的 “自动化合规” 反而会变成一场骗局 —— 客户花了钱，买到的只是一张虚假的合规证书，反而可能因此面临 HIPAA 下的刑事责任，或是 GDPR 下最高 4% 全球营收的巨额罚款。

对于整个行业而言，Delve 的经历无疑是一次警示：合规的核心是信任与真实，无论技术如何迭代，这一底线都不能被突破，否则再快的增长，最终也只会是空中楼阁。