2025年12月,几百家公司同时收到一封邮件。
邮件标题很直接:你们的审计报告是假的,Delve泄露了所有数据。
收件人包括Lovable、Bland、Duos Edge AI这些估值数十亿美元的明星公司。他们都用Delve做SOC 2合规——这个认证是企业级销售的入场券,没有它,大客户连理都不会理你。
讽刺的是,Delve的卖点恰恰是**“最快”、“AI驱动”、“帮你几天内拿证”**。
现在看来,这些承诺可能没有一个是真的。
硅谷宠儿的诞生
Delve的故事听起来很完美。
2023年,两个MIT大一新生——Karun Kaushik和Selin Kocalar——创立了Delve。他们是Forbes 30 Under 30,是Y Combinator 2024届学员。2025年7月,Delve完成3200万美元A轮融资,Insight Partners领投。
他们的核心承诺很诱人:用AI自动化合规流程,把原本几个月的SOC 2审计压缩到几天。
“10小时工作代替几百小时。”
这是他们在销售电话里反复强调的数字。
SOC 2是什么?简单说,它是美国最流行的安全合规认证。科技公司想卖给企业客户?先拿出SOC 2报告再说。ISO 27001是欧洲版,HIPAA管医疗数据,GDPR管欧盟用户数据——这些认证背后是实打实的法律风险:HIPAA违规可能坐牢,GDPR罚款最高4%全球营收。
Delve切中了一个真痛点。传统合规流程确实又慢又贵又繁琐。
问题是,Delve声称的AI解决方案,可能根本不存在。
“你的公司已经是地球上最安全的了”
当你登录Delve平台的那一刻,奇迹发生了。
你还没做任何事,Trust Page已经给你生成了一份“完全合规”的安全页面。漏洞扫描?做了。渗透测试?做了。数据恢复演练?做了。
什么都没做,但一切都“完成”了。
这只是一个开始。
在Delve的世界里,你只需要做四件事:
- Policies — 点接受预填充的模板政策
- Team — 手动截图、填表、做背景调查
- Tech — 手动截图你用的工具
- Company — 点接受所有预创建的假证据
所谓的“AI Copilot”能做什么?它会告诉你证据不够,然后给你一堆其他GRC平台的链接。
没有AI。没有自动化。只有无穷无尽的手动填表。
但最骚的操作来了——
当你的员工没完成培训、没做背景调查、没上传设备截图时,Delve会帮你伪造这些证据。
“Delve marked all checks as passing for employees who never did anything. Training complete. Devices secured. Background checks performed. Every employee had identical fake boilerplate evidence.”
这不是我编的,这是原文。
然后你会收到一封庆祝邮件:“恭喜!你的SOC 2审计以最高质量通过了!”
恭喜你获得了一张纸——一张可能毫无意义的纸。
审计报告是批量生产的
如果说上面的故事只是“体验不好”,那接下来才是真正的雷区。
2025年12月那封泄露邮件之所以让几百家公司炸锅,是因为它附带了一个链接——一个Google表格,里面躺着所有客户的审计报告。
每一份报告都是Delve写的,然后找审计公司盖章。
具体怎么操作的?
看这份泄露表格里的内容:
- 493份报告中,99.8%包含同一段文字:"An Endpoint Security Solution is installed with the feature of scanning the device automatically and log reports are reviewed"
- 259份Type II报告中,每一份都有完全相同的测试结论
- 所有报告的审计师结论在客户填信息之前就已经写好了
来感受一下这些“巧合”:
“The operating effectiveness of the control related to security incidents could not be tested because there no security incidents reported during the engagement”
259个客户,三个月观察期,没有一个遇到安全事件。巧到这种程度,只能说明是复制粘贴。
更夸张的是,有客户用"g"和"sdf"做测试数据,这些字直接出现在了生成的审计报告里。
报告是脚本自动生成的。审计师只是个人形印章。
“美国审计公司”实际上是印度皮包公司
Delve对外宣称合作的是“顶级美国审计公司”。
实际上呢?
- Accorp — Delve首选SOC 2合作伙伴,公开地址是一个单人CPA的小办公室
- Gradient — Delve首选ISO 27001合作伙伴,美国地址是 mailbox agent,管理层在印度
- Glocert — 最近换的新合作伙伴,英国公司注册显示“休眠四年”,实际是印度运营
记者假装客户直接联系了Gradient的总监Kumar Gauraw,砍完价得到报价:ISO 27001 + SOC 2全套不到2000美元。
正常的市场价是多少?单SOC 2就要15000-30000美元。
便宜是有代价的。
这些“审计师”连CPA都不是。Jayshree Dutta在Delve平台上被列为SOC 2审计师,但她同时在CyberTryZub和BQC Assessment工作——这些公司都在印度。
“It is safe to conclude that none of these places are used by Accorp, and they clearly do not have US presence... Accorp is a fraudulent Audit firm operating from India.”
这是原文的结论。
上市公司也中招了
如果说小公司被骗是“交学费”,那上市公司也踩坑就有点魔幻了。
Duos Edge AI(NASDAQ: DUOT) 是Delve的客户。
这家公司被审计的SOC 2 Type II报告中,白纸黑字写着:
“includes evaluation of the design and operating effectiveness of controls relevant to the Security, Availability, Processing Integrity, Confidentiality, and Privacy Trust Services Criteria”
翻译:他们声称自己通过了五大信任服务标准的审计。
实际上呢?
报告中只测试了Security这一项。其他四项——Availability、Processing Integrity、Confidentiality、Privacy——根本没有任何测试。
“SEC, are you paying attention?”
这是原文的原话。
Delve的回应:否认,然后送甜甜圈
泄密事件发生后,CEO Karun Kaushik给客户发了邮件,核心就三点:
- 那封泄密邮件是“AI生成的假消息”
- 泄露范围“仅限于那个表格”
- 你们的审计报告是有效的
但问题是:
- 那个表格本身就是包含敏感信息的数据库
- 链接到的审计报告里有签名、架构图、个人信息
- 泄露发生后,Delve立刻把报告设为私密——说明他们知道这些报告存在
当客户追问细节时,Delve的策略是:**约电话聊。
创始人会亲自上场,告诉你“Lovable和Bland都用我们的报告通过了F500的安全审查”,然后给你送几盒甜甜圈。
如果客户非要投诉?Delve会给你配一个外部vCISO——然后让你自己手动做所有合规工作。
这不只是Delve的问题
文章发出来后,评论区第一条就点破了:
“Forbes 30u30 pipeline remains undefeated. How did none of this come up during diligence?”
3200万美元融资,Y Combinator背书,Forbes 30 Under 30光环——尽职调查为什么没发现?
更关键的问题是:谁在给这些认证盖章?
AICPA的规则写得清清楚楚:审计师必须独立设计测试程序、独立评估证据、独立形成结论。审计师不能既是实施者又是证明者。
Delve的模式从根本上违反了这个原则。
但审计公司依然盖章。
“It has the same fake Delve-generated 'IT Leadership Committee Charter' and 'Board Meeting Minutes' that every other Delve client gets.”
每一份报告都有同一份假的董事会会议记录。审计师不可能没看到。
故事还在继续
Delve最近发了回应,否认所有指控。
但那封泄露邮件里附带的报告备份还在。Mega.nz上的文件夹还开着。任何人可以下载、对比、验证。
500多份审计报告,493份包含同一段文字,259份有完全相同的测试结论。
数字不会说谎。
【MiniMax-M2.5锐评】:这行当里“橡皮图章”早就不是秘密,但能把假数据做得这么规模化、这么理直气壮的,Delve也算开了眼。VC们投钱之前但凡找同行聊两句,也不至于踩这么深的坑。
参考链接:
https://deepdelver.substack.com/p/delve-fake-compliance-as-a-service