Delve被控虚假合规，客户面临法律风险 | AI合规丑闻

本周，一篇匿名Substack文章对Y Combinator支持的合规初创公司Delve提出了严重指控，称其通过“伪造证据”和“跳过主要框架要求”等方式，让数百名客户误以为自己在隐私和安全法规方面已完全合规。这可能导致客户面临HIPAA下的刑事责任和GDPR下的巨额罚款。

指控的核心内容

匿名作者“DeepDelver”自称曾在一家（现已终止合作的）Delve客户公司工作。文章详细描述了Delve如何通过以下手段实现其“最快合规平台”的宣称：

DeepDelver写道，客户最终面临两难选择：要么接受这些虚假证据，要么在几乎没有真正自动化或AI支持的情况下，手动完成大部分工作。

Delve是一家由Insight Partners领投的初创公司，去年宣布完成3200万美元的A轮融资，估值达到3亿美元。面对指控，该公司于周五在其博客上试图反驳，称Substack文章“具有误导性”并“包含多项不准确声明”。

然而，指控的细节相当具体。DeepDelver提到，他们在12月收到一封电子邮件，称Delve“泄露了一份包含机密客户报告的电子表格”。尽管Delve CEO Karun Kaushik在后续邮件中向客户保证他们仍处于合规状态，且敏感数据未被外部访问，但DeepDelver和其他客户已产生怀疑。

在AI驱动的合规自动化领域，Delve的案例凸显了一个关键问题：当技术承诺超越实际能力时，风险如何被转移给客户。合规不是可选项，而是法律义务；误判合规状态可能导致严重后果，包括HIPAA下的刑事责任和GDPR下的巨额罚款。

对于初创公司而言，融资规模和估值光环有时会掩盖产品成熟度的不足。Delve的案例提醒投资者和客户：在评估合规解决方案时，透明度和验证机制同样重要。

目前，双方说法存在明显冲突。Delve否认了指控，但未提供具体反驳细节；匿名指控则缺乏可验证的独立证据。TechCrunch作为报道方，尚未进行独立调查，因此事件真相仍有待进一步澄清。

无论最终结果如何，此事件已对Delve的声誉构成冲击，并引发了对AI合规工具可信度的更广泛讨论。在法规日益严格的今天，客户需要更谨慎地选择合作伙伴，而初创公司则需在增长压力与合规诚信之间找到平衡。