【编者按】在数字化浪潮席卷全球的今天，企业合规与数据安全已成为悬在每一家公司头上的“达摩克利斯之剑”。然而，当一家备受资本青睐、估值数亿美元的合规明星初创企业，被内部人士以长文实名指控其合规成果“造假”，甚至涉嫌系统性欺诈时，整个行业都为之震动。这不仅仅是一家公司的危机，更是一次对所谓“AI驱动”、“自动化”合规解决方案可信度的尖锐拷问。指控者详述了“伪造证据”、“操控审计”等惊人细节，而被指控方则坚决否认，称其仅为“自动化平台”。真相究竟如何？是吹哨人揭露行业黑幕，还是竞争对手的恶意中伤？在监管日益严苛、数据泄露事件频发的当下，此事件无疑给所有依赖外部服务进行合规建设的企业敲响了警钟：您所购买的，究竟是真正的安全护栏，还是一纸随时可能被戳破的“皇帝的新衣”？以下为您呈现事件全貌。

　　本周发布的一篇匿名Substack文章指控合规初创公司Delve“虚假地”让“数百名客户相信”自己已符合隐私和安全法规，这可能使这些客户面临“根据HIPAA（美国健康保险流通与责任法案）的刑事责任以及根据GDPR（通用数据保护条例）的巨额罚款”。

　　Delve是一家获得Y Combinator支持的初创公司，去年宣布以3亿美元的估值完成了3200万美元的A轮融资（本轮由Insight Partners领投）。周五，该公司试图在其博客上反驳这些指控，称Substack上的文章“具有误导性”，并说它“包含许多不准确的说法”。

　　这篇Substack文章的作者署名为“DeepDelver”，他自称曾在Delve的一家（现已终止合作的）客户公司工作。

　　DeepDelver叙述称，他们在12月收到一封电子邮件，声称Delve“泄露了一份包含机密客户报告的电子表格”。尽管Delve首席执行官Karun Kaushik在后续的电子邮件中显然向客户保证他们是合规的，且没有外部方获得敏感数据的访问权限，但DeepDelver表示，他和其他客户已经开始怀疑。

　　“我们都有对Delve体验感到失望的共同经历，并且整体感觉事情有些不对劲，于是我们决定集中资源，一起进行调查，”他写道。

　　他们的结论是什么？Delve“通过制造虚假证据、代表那些橡皮图章式认证机构生成审计结论、跳过主要框架要求同时告诉客户他们已实现100%合规，来实现其‘最快平台’的声称”。

　　DeepDelver对这些指控进行了相当详细的说明，指责该公司向客户提供“伪造的、关于从未发生过的董事会会议、测试和流程的证据”，然后迫使这些客户“在采用虚假证据与执行大部分手动工作（几乎没有真正的自动化或人工智能）之间做出选择”。

　　DeepDelver还声称，几乎Delve的所有客户似乎都经过了两家审计公司——Accorp和Gradient的审计，他将这两家公司描述为“同一运营体系的一部分”，其主要业务在印度，在美国仅有名义上的存在。

　　他表示，这些公司只是对Delve生成的报告进行橡皮图章式的批准。因此，DeepDelver说Delve“颠覆了”正常的合规结构：“通过在独立审查发生之前就生成审计结论、测试程序和最终报告，Delve将自己同时置于实施者和审查者的角色。这不是技术细节问题。这是一种结构性欺诈，使整个认证无效。”

　　除了指控Delve误导客户外，DeepDelver还说该公司正在帮助这些客户“通过托管包含从未实施过的安全措施的信任页面来误导公众”。

　　DeepDelver说，当他的公司正在与Delve讨论其问题时，这家初创公司“给我们送了好几盒甜甜圈[…]来让我们保持满意”。尽管如此，据称DeepDelver的雇主已经撤下了其信任页面，并且不再依赖Delve进行合规。

　　Delve对指控作出回应，称其根本不发布合规报告。相反，它是一个“自动化平台”，负责接收合规信息，然后向审计师提供这些信息的访问权限。

　　“最终报告和意见完全由独立的、持有执照的审计师出具，而非Delve，”该公司表示。

　　Delve还表示，其客户“可以选择与他们自己选择的审计师合作，或者选择与Delve网络中的独立、认可的第三方审计公司合作”。该公司称，这些审计师是“行业内广泛使用的成熟公司，其他合规平台也在使用”。

　　针对其向客户提供“虚假证据”的指控，Delve反驳说，它只是提供“模板，以帮助团队根据合规要求记录其流程，其他合规平台也是如此”。

　　“草案模板与‘预填证据’不同，”该公司说。

　　Delve补充说，它“正在积极调查任何泄露事件”，并且“仍在审阅该Substack文章”。

　　在最初的Substack文章发布后，一位名为James Zhou的X用户表示，他能够获取Delve的敏感信息，例如员工背景调查和股权归属时间表。Dvuln创始人Jamieson O’Reilly分享了更多细节，据O’Reilly称，这些细节来自他与Zhou关于“Delve外部攻击面中几个巨大安全漏洞”的对话。

　　TechCrunch向Delve网站上列出的媒体联系地址发送了一封电子邮件，寻求更多评论。该邮件被退回，但随后我收到了一个关于本周晚些时候“Delve演示”的日历邀请。TechCrunch也已联系DeepDelver寻求更多评论。

　　本文由海声网原创发布，未经许可，不得转载！

　　本文链接：http://o.frfey.com/tt/3779.html