本周，一篇匿名发布于Substack的平台文章指控合规初创公司 Delve 以“虚假合规”方式误导客户，称该公司让“数百名客户相信他们已符合”隐私和安全相关法规要求，可能使这些客户在 HIPAA 之下面临刑事责任，并在 GDPR 框架下遭遇巨额罚款。

Delve 是一家获得 Y Combinator 支持的合规技术公司，去年宣布完成 3,200 万美元 A 轮融资，估值约 3 亿美元，该轮融资由 Insight Partners 领投。针对上述指控，Delve 于周五在公司博客发文回应，称该篇 Substack 文章“具有误导性”，并表示其中“包含多项不准确的说法”。

匿名作者称遭遇“虚假合规”流程

这篇 Substack 文章署名“DeepDelver”。作者自称曾就职于一家曾是 Delve 客户、现已不再使用其服务的公司。DeepDelver 在回复 TechCrunch 的邮件询问时表示，出于对 Delve 可能报复的担忧，他们及其合作者选择保持匿名。

DeepDelver 在文章中回忆称，去年 12 月收到一封邮件，内容指 Delve“泄露了一份包含机密客户报告的电子表格”。据其描述，Delve 首席执行官 Karun Kaushik 随后通过邮件向客户保证，其合规状态不受影响，且没有外部人员获取敏感数据。但 DeepDelver 表示，他们及其他客户在此后开始对 Delve 的服务产生怀疑。

“由于共同经历了对 Delve 服务的失望，并且整体感觉有些可疑，我们决定汇集资源共同调查，”DeepDelver 在文中写道。

根据该文描述，DeepDelver 及其合作者的结论是，Delve 为实现其“最快平台”的宣传， allegedly 通过“制造虚假证据、代表认证机构生成审计结论（这些机构只是形式上盖章报告），并跳过主要框架要求，同时告诉客户他们已实现 100% 合规”。

文章进一步称，Delve 向客户提供“伪造的董事会会议、测试和流程证据，这些根本未曾发生”，并让客户在“采用虚假证据”与“自行完成大部分手工工作、几乎没有真正自动化或人工智能支持”之间作出选择。

涉及第三方审计机构的指控

DeepDelver 还在文中声称，几乎所有 Delve 客户似乎都由两家审计公司 Accorp 和 Gradient 提供服务，并称这两家公司“属于同一运营体系”，主要在印度运营，在美国仅有名义上的存在。

据其描述，这些审计机构只是对 Delve 生成的报告进行形式上的盖章。文章称，Delve 因此“颠倒”了正常的合规结构：“通过在任何独立审查发生之前生成审计结论、测试程序和最终报告，Delve 将自己置于实施者和审查者的双重角色。这不是技术细节，而是一种结构性欺诈，导致整个认证无效。”

除上述内容外，DeepDelver 还指称，Delve 协助客户通过托管所谓“信任页面”误导公众，这些页面列示了“从未实施”的安全控制措施。

DeepDelver 表示，在其所在公司就相关问题与 Delve 沟通期间，Delve“多次送来多盒甜甜圈……以保持我们的满意”。据其称，其雇主随后已下线相关信任页面，并不再依赖 Delve 提供合规服务。

Delve：不发布报告，仅提供自动化平台

针对上述指控，Delve 在博客回应中表示，公司本身并不发布合规报告，而是作为一个“自动化平台”，负责收集合规相关信息，并向审计员提供访问权限。

“最终报告和意见完全由独立的持牌审计员发布，而非 Delve，”该公司在声明中称。

Delve 表示，客户“可以选择与自己选定的审计员合作，或选择 Delve 网络中独立、认证的第三方审计公司之一”。该公司称，这些审计机构是“行业内广泛使用的成熟公司，包括其他合规平台也在使用”。

对于被指提供“虚假证据”的说法，Delve 回应称，其向客户提供的是“模板，帮助团队根据合规要求记录其流程，正如其他合规平台所做的那样”。

“草稿模板不同于‘预填充证据’，”Delve 表示。

Delve 还称，正在“积极调查任何泄露事件”，并“仍在审查该 Substack 文章”。

匿名作者对回应表示不满

在被问及如何看待 Delve 的公开回应时，DeepDelver 对 TechCrunch 表示，他们对这一回应的“懒散、笨拙和厚颜无耻感到困惑”。

DeepDelver 指出，Delve 试图通过否认存在“预填充证据”，而将相关内容称为“模板”，从而将责任转嫁给客户，认为这是在指责客户直接采用了这些“模板”。他们还表示，如果将“发布报告”限定为“提供最终盖章”，Delve 声称自己并非报告发布方的说法“很容易成立”。

DeepDelver 还称，Delve 并未回应文章中“多项非常严重的指控”，包括与印度相关的指控、关于缺乏人工智能（Delve 仅提及“自动化”）的质疑，以及有关信任页面中列示但“从未实施”的控制措施等内容。

DeepDelver 表示，相关批评尚未结束，并称“第二部分将很快发布”。

社交平台上出现更多安全质疑

在最初的 Substack 文章发布后，一名名为 James Zhou 的 X 平台用户表示，其能够访问 Delve 的敏感信息，包括员工背景调查和股权归属计划等内容。

安全公司 Dvuln 创始人 Jamieson O’Reilly 随后分享了更多细节，称这些信息来自其与 Zhou 的一段对话，内容涉及“Delve 外部攻击面存在多处严重安全漏洞”。

TechCrunch 称，其向 Delve 官网列出的媒体联系邮箱发送了进一步置评请求，但邮件被退回。不过，在报道发布后，记者收到了本周晚些时候举行的“Delve 演示”日程邀请。

报道指出，本文最初发表于 2026 年 3 月 21 日，随后更新，补充了 DeepDelver 的邮件回复、Jamieson O’Reilly 提供的疑似安全漏洞相关信息，以及 Delve 向 TechCrunch 提供的进一步回应细节。