Priča o problematičnom startupu Delve nastavlja se razvijati. TechCrunch je potvrdio da je Delve bila tvrtka koja je provodila sigurnosne certifikacije za Context AI, startup za obuku AI agenata, koji je prošlog tjedna prijavio sigurnosni incident koji je doveo do curenja podataka kod popularnog pružatelja usluga Vercel.
S druge strane, Lovable, koji je imao vlastiti sigurnosni incident, više nije kupac Delve.
Da ponovimo: Prošlog mjeseca, Delve se našla pod udarom kritike kada je anonimni zviždač tvrdio da startup laže o podacima svojih kupaca i koristi revizore koji ne provode temeljite provjere u svojim procesima certifikacije. Delve je odbacila te optužbe.
Ubrzo nakon toga, hakeri su napali jednog od kupaca Delve, LiteLLM, i implantirali zloćudni softver u njegov otvoreni izvorni kod. Nakon incidenta, LiteLLM je obavijestio TechCrunch da prekida suradnju s Delve i da se ponovno certificira.
Delve je također optužena za korištenje alata otvorenog koda i predstavljanja istog kao vlastitog rada bez odgovarajućeg licenciranja. Reputacija startupa postala je sumnjiva, što je dovelo do prekida suradnje s Y Combinatorom, odakle je Delve diplomirala.
Prošlog vikenda, Vercel je objavio da su hakeri provalili u njihove interne sustave i pristupili nekim korisničkim podacima. Tvrtka je izjavila da su hakeri provalili nakon što je zaposlenik preuzeo aplikaciju koju je izradio Context AI i povezao je s Vercelovim korporativnim računom koji se hosta na Googleu. Hakeri su iskoristili taj pristup za provalu u Vercelove interne sustave.
Nakon što je Context AI spomenut u napadu na Vercel, Gergely Orosz, autor inženjerskog biltena, objavio je na platformi X da je Delve bila tvrtka koja je upravljala sigurnosnom certifikacijom Context AI.
Context AI je sada potvrdio TechCrunchu da je koristio Delve, ali je od tada prekinuo suradnju s tim startupom i u procesu je ponovne certifikacije.
„Da, Context je prethodno bio kupac Delve,“ izjavio je glasnogovornik Context AI. „Nakon izvještavanja o Delveu u ožujku, prešli smo na Vantu za naš program usklađenosti i angažirali Insight Assurance, neovisnu revizorsku firmu, da provede nove preglede. Kao dio ponovnog pregleda, počeli smo ažurirati naše javne materijale i podijelit ćemo novu potvrdu kada bude gotova,“ dodao je glasnogovornik.
Sigurnosne certifikacije same po sebi ne sprječavaju sigurnosne probleme. Njihov je cilj provjeriti ima li tvrtka politike i procese koji bi spriječili napade i smanjili vjerojatnost ugrožavanja korisničkih podataka.
Primjerice, Lovable je bio kupac Delve, ali nakon otkrića zviždača, vibro-platforma je rekla da je prekinula suradnju s Delve krajem 2025. godine. Tvrtka je već završila jednu sigurnosnu certifikaciju i u procesu je ponovnog obavljanja drugih.
Ipak, Lovable je u ponedjeljak priznala da je nenamjerno javno podijelila pristup podacima o korisničkim razgovorima. Tvrtka je također izjavila da je odbacila izvještaje o ranjivostima koji su je upozorili na problem mjesecima ranije. Lovable se ispričao zbog početnog poricanja postojanja curenja podataka, iako je istaknuo da je problem uzrokovan greškom u konfiguraciji, a ne hakerskim napadom.
Postoje čak i čudnije vijesti vezane uz Delve. Anonimni zviždač, DeepDelver, objavio je još jedan post u kojem tvrdi da je Delve odbio povrat novca kupcima, ali je istovremeno odveo svoj tim od više od 20 ljudi na sastanak izvan ureda na Havajima između 15. i 19. travnja.
Zviždač je podijelio nekoliko uvjerljivih dokaza s TechCrunchom koji daju kredibilitet navodnom putovanju na Havaje, ali TechCrunch nije mogao potvrditi druge tvrdnje.
Nakon objave, Delve je odbio komentirati.
