Історія навколо компанії Delve, яка спеціалізується на аудиті та сертифікації у сфері інформаційної безпеки, продовжує розвиватися, набуваючи дедалі більшого розголосу через низку гучних інцидентів та скандалів.
Про це розповідає ProIT
Delve і сертифікація для Context AI та інцидент із Vercel
Стало відомо, що саме Delve відповідала за проведення сертифікації безпеки для Context AI — стартапу, що займається навчанням агентів зі штучним інтелектом. Минулого тижня Context AI повідомила про серйозний інцидент із безпекою, який, у свою чергу, призвів до витоку даних у великого хостинг-провайдера Vercel. Як з’ясувалося, зловмисники змогли отримати доступ до внутрішніх систем Vercel після того, як один із співробітників компанії завантажив додаток Context AI та підключив його до корпоративного акаунта, розміщеного на платформі Google. Хакери скористалися цим доступом, щоб зламати частину внутрішніх систем Vercel.
Після розголосу навколо атаки на Vercel представник Context AI підтвердив, що компанія була клієнтом Delve, проте наразі розірвала співпрацю та перебуває на етапі нової сертифікації. За словами представника Context AI, після публікацій щодо Delve у березні компанія перейшла на рішення Vanta та залучила незалежну аудиторську фірму Insight Assurance для проведення повторного аудиту. У компанії зазначили, що наразі оновлюють публічні матеріали та поділяться новим сертифікатом після завершення перевірки.
“Yes, Context was previously a Delve customer,” a spokesperson for Context AI told TechCrunch. “Following the reporting surrounding Delve in March, we transitioned our compliance program to Vanta and engaged Insight Assurance, an independent audit firm, to conduct new examinations. As part of the re-examination, we began updating our public materials, and we’ll share the new attestation when it is complete,” the spokesperson added.
Скандали, звільнення клієнтів та нові обвинувачення
Delve вже не вперше опиняється у центрі скандалів. Минулого місяця анонімний інформатор звинуватив компанію у підробці даних клієнтів та використанні формальних аудитів у процесі сертифікації. Стартап категорично спростував ці обвинувачення, однак незабаром один із його клієнтів, LiteLLM, зазнав атаки, під час якої у відкритий код було впроваджено шкідливе програмне забезпечення. Після цього LiteLLM повідомила про розрив співпраці з Delve та запланувала повторну сертифікацію.
Delve також підозрюють у тому, що вона видавала чужий open source-інструмент за власну розробку без належного зазначення ліцензії. Репутація стартапу похитнулася настільки, що від нього дистанціювався навіть акселератор Y Combinator, випускником якого була компанія.
Ще один колишній клієнт Delve — платформа Lovable — після появи звинувачень у бік Delve також відмовилася від її послуг наприкінці 2025 року та вже пройшла одну з нових сертифікацій, а інші ще у процесі. Проте днями Lovable визнала, що випадково відкрила публічний доступ до чатів клієнтів і проігнорувала звіти про цю вразливість. Компанія вибачилася за те, що спочатку заперечувала наявність інциденту, пояснивши проблему помилкою у налаштуваннях, а не зовнішньою атакою.
На тлі цих подій з’являються й інші дивні звинувачення щодо Delve. Анонімний інформатор під псевдонімом DeepDelver опублікував повідомлення про те, що компанія відмовлялася повертати гроші клієнтам, водночас організувавши виїзну зустріч для понад 20 співробітників на Гаваях у середині квітня. Надані інформатором матеріали підтверджують цю поїздку, хоча інші твердження перевірити не вдалося.
Delve не надала офіційних коментарів щодо ситуації, а спроби зв’язатися із компанією залишилися без відповіді.
Експерти зазначають, що сам по собі сертифікат безпеки не гарантує повного захисту від атак, а лише підтверджує наявність у компанії відповідних процедур та політик для мінімізації ризиків витоку даних клієнтів.