Delve accused of misleading customers with ‘fake compliance’

标题和作者

文档标题为《Delve accused of misleading customers with ‘fake compliance’》，作者为 TechCrunch。文章主要讲述了一家名为 Delve 的合规初创公司被指控通过提供虚假证据和审计结论来误导客户，声称实现了 100% 合规。文章背景介绍了 Delve 是一家获得 Y Combinator 支持、估值 3 亿美元的初创公司，由 Karun Kaushik 担任 CEO，近期刚完成 3200 万美元的 A 轮融资。

摘要

本文揭露了合规初创公司 Delve 被指控通过提供虚假证据和审计结论来误导客户，声称实现了 100% 合规。此前虽无公开报道，但 Delve 的商业模式引发了内部怀疑。本文通过调查泄露的电子表格和审计流程，发现 Delve 生成了从未发生的会议记录和测试数据，并利用印度审计公司进行“橡皮图章”式的盖章。Delve 声称这是模板而非预填充的证据，且报告由独立审计师出具，但被指推卸责任。本文详细记录了这一指控过程及双方的交锋。
本文涉及的术语中，HIPAA（健康保险流通与责任法案）和 GDPR（通用数据保护条例）是欧美严格的隐私与数据安全法规，违规可能导致刑事起诉和巨额罚款。Compliance（合规）指企业遵守法律法规的过程。Attestation（认证/签署）是审计师对合规性的官方确认声明。Rubber-stamp（橡皮图章）指只做形式性同意而不实质审查的流程。

主要主题和概念

主题：虚假证据生成
What：Delve 被指控通过生成从未发生的董事会会议记录、测试数据和流程文档，来证明其平台已达到 100% 的合规标准。
Why：为了维持“最快平台”的声誉，并避免让客户进行繁重的手动工作和低效的自动化操作。
How：Delve 使用预先制作的模板来帮助团队记录流程，但被指实际上预填充了证据，并直接为认证机构生成审计结论，跳过了实际的测试步骤。
关于“Templates”和“Pre-filled evidence”的区别，DeepDelver 指出前者是文档框架，后者是虚假的已填内容，Delve 声称前者是为了掩盖后者。
主题：橡皮图章式审计
What：Delve 被指与审计公司 Accorp 和 Gradient 串通，这些公司主要在印度运营，被描述为“同一运作的一部分”。
Why：Delve 需要一个快速且廉价的合规验证流程，以向客户推销其服务，而无需真正严格的独立审查。
How：Delve 在任何独立审查发生之前就生成审计结论、测试程序和最终报告，然后将这些报告发送给这些审计公司进行盖章，从而将 Delve 定位为实施者和检查者的双重角色。
文中提到的“External attack surface”指系统暴露在互联网上可能被外部攻击者利用的路径，James Zhou 和 Jamieson O'Reilly 揭示了 Delve 在这方面存在多个严重的安全漏洞。
主题：法律责任与信任欺诈
What：Delve 帮助客户误导公众，通过托管从未实施的安全措施的信任页面，使客户面临违反 HIPAA 和 GDPR 的刑事指控。
Why：客户为了展示合规形象而使用 Delve 的服务，但 Delve 提供了虚假的安全控制措施列表，导致客户承担法律后果。
How：尽管 Delve 曾试图通过赠送甜甜圈等手段安抚客户，但客户最终还是撤下了信任页面，不再依赖该服务，并发表了批评文章。
Attestation（认证/背书）是第三方机构对某项事实或合规性做出的正式声明。Delve 的结构被指通过“inverts”（颠倒）正常的认证流程，使得 Delve 既充当实施者也充当审查者，这是结构性欺诈。

重要引文

论点：Delve 通过生成从未发生的会议记录、测试数据和流程证据，以及利用审计公司进行“橡皮图章”式的盖章，欺骗客户实现虚假的 100% 合规。
论据：DeepDelver 指出 Delve 提供了“从未发生的董事会会议、测试和过程的伪造证据”，并声称 Delve 与印度审计公司 Accorp 和 Gradient 关系密切，被描述为“同一运作的一部分”。此外，DeepDelver 还提到 Delve 帮助客户误导公众，通过托管从未实施的安全措施来掩盖事实。
论证：DeepDelver 通过调查发现 Delve 在独立审查发生之前就生成了审计结论和报告，从而“inverts the normal compliance structure”（颠倒了正常的合规结构），让 Delve 同时扮演实施者和检查者的角色。面对 Delve 否认提供“预填充证据”而称其为“模板”的辩解，DeepDelver 认为这是“懒惰、笨拙和厚颜无耻”的推卸责任，并指出 Delve 未回应关于印度业务、缺乏 AI 功能以及信任页面上虚假控制措施等严重指控。
文中提到的“Y Combinator”是著名的创业孵化器，“Series A”是初创公司融资的第二轮。

总结

本文的核心亮点在于揭开了合规行业巨头 Delve 的遮羞布，指控其利用虚假证据和橡皮图章审计维持高估值。尽管 Delve 拥有 3 亿美元的估值和 Y Combinator 的背书，但其被指通过预填充证据和生成虚假流程文档来伪造合规性，导致客户面临法律风险。此外，文章还揭示了 Delve 外部攻击面存在的严重安全漏洞。DeepDelver 的揭露与 Delve 的“模板”辩解形成鲜明对比，暗示了该行业可能存在的深层次信任危机，且后续还有第二部分内容待发布。