Delve sprzedawał fałszywą zgodność, a sygnalistę nazwał hakerem

Delve był startupem z Y Combinatora, który sprzedawał innym firmom usługi zgodności w obszarze bezpieczeństwa. Osiągnął wycenę 300 milionów dolarów, obiecując audyty w kilka dni, a nie miesięcy. Potem anonimowa grupa o nazwie DeepDelver pokazała, że te audyty były w większości fikcyjne. Założyciele odpowiedzieli, nazywając źródło informacji hakerem.

Co sprzedawał Delve i co poszło nie tak?

Delve sprzedawał oprogramowanie, które pomaga firmie przejść audyt bezpieczeństwa. Najważniejszy z nich to SOC 2. To raport, który dostawca pokazuje klientom, by udowodnić, że bezpiecznie przechowuje ich dane. Standardowy proces trwa od sześciu do dwunastu miesięcy. Delve obiecywał ten sam efekt w kilka dni. Agenci AI mieli zbierać dowody i przygotowywać dokumentację. Cała oferta opierała się na tej szybkości.

Firma wyszła z Y Combinatora i szybko rosła. Jej założycielami byli Karun Kaushik i Selin Kocalar, oboje porzucili studia na MIT, mieli niewiele ponad dwadzieścia lat i oboje trafili na listę Forbes 30 Under 30. Pozyskali około 35 milionów dolarów, w tym rundę Series A prowadzoną przez Insight Partners, i osiągnęli wycenę 300 milionów dolarów. Własna strona Delve wciąż głosi, że firmie ufa „ponad 1500 najszybciej rosnących firm”. Twierdzi, że jej agenci AI „robią zrzuty ekranu, piszą raporty i weryfikują twoje dowody za ciebie”.

Delve sprzedawał zgodność „w kilka dni”. Zrzut ekranu z delve.co.

To ostatnie zdanie jest właśnie problemem. Audyt ma sens tylko wtedy, gdy realna osoba sprawdza dowody. Jeśli maszyna pisze raport, a pieczątka go podpisuje, klient kupuje dokument, a nie bezpieczeństwo. Oferta, dzięki której Delve był szybki, to ta sama oferta, która sprawiła, że audyty były wydmuszką. Firma od zgodności po cichu zamieniła zgodność w przepisywanie z kopii.

Dlaczego nikt nie zakwestionował pięciodniowego audytu? Bo właśnie o szybkość chodziło. Klienci chcieli odznaki, by zamykać transakcje. Inwestorzy chcieli wzrostu. Audytorzy i tak dostawali zapłatę. Każdy w tym łańcuchu miał powód, by nie pytać, jak to naprawdę zrobiono. Więc nikt nie pytał.

Co ustalili anonimowi krytycy

W marcu 2026 roku anonimowa grupa występująca jako DeepDelver opublikowała śledztwo. Opierało się na ujawnionym wewnętrznym arkuszu kalkulacyjnym. Jej członkowie byli byłymi klientami, którzy porównali swoje spostrzeżenia. Trudno było zlekceważyć ich liczby. Spośród 494 raportów SOC 2 aż 493 używały tego samego szablonowego tekstu. Zmieniały się tylko nazwa i logo firmy. Wyglądało to mniej jak audytowanie, a bardziej jak funkcja znajdź i zamień.

• Wszystkie 259 raportów typu II zawierało dokładnie ten sam, słowo w słowo, wniosek audytora.
• Ta sama literówka, „Because there no security incidents reported”, z brakującym słowem „is”, pojawiła się we wszystkich 259.
• Jeden raport wciąż zawierał wklejony opis produktu: „Cluely is a desktop AI assistant to give you answers in real-time”.
• W 259 niepowiązanych ze sobą firmach dane testowe były tym samym przypadkowym ciągiem znaków: „sdf, g, dlkjf”.
• Wnioski audytora były pisane, zanim klienci przekazali jakiekolwiek dowody.

Własna oferta Delve: agenci AI, którzy „piszą raporty” i „weryfikują twoje dowody”. Zrzut ekranu z delve.co.

DeepDelver podał, że audytorzy, których Delve reklamował jako firmy amerykańskie, w rzeczywistości okazywali się zagranicznymi biurami korzystającymi z wirtualnych adresów. Ton grupy wyrażał niedowierzanie, a nie złość. Pisali, że byli „zaskoczeni lenistwem, niezdarnością i bezczelnością tego wszystkiego”. Delve, jak napisali, osiągnął miano najszybszej platformy „produkując fałszywe dowody”. Jeśli to prawda, skutki sięgają daleko. Setki firm zapewniły własnych klientów, że są bezpieczni. Dowodem był raport, którego tak naprawdę nikt nie napisał.

Cena przez cały czas była cichą wskazówką. Niektóre audyty Delve podobno kosztowały zaledwie kilka tysięcy dolarów. Prawdziwy audyt SOC 2 zajmuje ekspertowi wiele godzin, więc ta kwota nigdy się nie zgadzała. Co najmniej jeden szef bezpieczeństwa przyznał później, że niska stawka niepokoiła go od miesięcy przed wyciekiem. Rynek i tak chciał uwierzyć w okazję.

Jak Delve odpowiedział na zarzuty

Delve zareagował zdecydowanie. Oświadczył, że w ogóle nie wydaje audytów. Prowadzi jedynie platformę do automatyzacji. „Końcowe raporty i opinie wydają wyłącznie niezależni, licencjonowani audytorzy, a nie Delve” oznajmiła firma. Robocze szablony, jak argumentowała, nie są wstępnie wypełnionymi dowodami. 4 kwietnia założyciele opublikowali film. Zebrał blisko 5 milionów wyświetleń.

Warto obejrzeć ten film dla tego, jak zmienia ton. Zaczyna się jako przeprosiny, a potem zwraca się przeciwko źródłu. Założyciele przepraszają za „niedogodności”. Obiecują nową sieć audytorów i bezpłatne ponowne audyty. A potem przedstawiają całą historię jako przestępstwo popełnione na nich, a nie przez nich.

That said, we grew too fast and fell short of our own standard. To our customers, we deeply apologize for the inconveniences caused. [...] The evidence we have points to a targeted cyberattack from a malicious actor, not a "whistleblower."

- Karun Kaushik (@karunkaushik_) 4 kwietnia 2026

Przeczytaj to jeszcze raz. Osoba, która ujawniła problem, staje się „złośliwym aktorem”. Delve twierdzi, że ten aktor „kupił usługi Delve pod fałszywym pretekstem” i „wyprowadził wewnętrzne dane firmy”. To najstarsza zagrywka, jaka istnieje. Kiedy nie da się zaprzeczyć dokumentom, atakuje się posłańca. Może rzeczywiście ktoś niewłaściwie wykorzystał login. Mimo to nazwanie sygnalisty hakerem wysyła jeden komunikat do każdego obserwującego pracownika. Powiedz o nas głośno, a my pójdziemy po ciebie. Organ doradczy UE pokazał ten sam odruch, gdy potajemnie ścigał anonimowe źródło stojące za zarzutami korupcji wobec własnego kierownictwa.

Dlaczego osoby, które wiedziały, pozostały anonimowe

Jeden szczegół ginie w całej reszcie relacji. Żaden pracownik Delve nie podpisał się pod tym nazwiskiem. Raport przyszedł z zewnątrz, od klientów, którzy zebrali w całość to, co zobaczyli. Świadomie pozostali bez twarzy. Stali naprzeciw dobrze finansowanego startupu wyposażonego w prawników. Ocenili, że ujawnienie nazwiska wiele by ich kosztowało. Odpowiedź prezesa o „hakerze” pokazała, że mieli rację.

To wewnętrzne milczenie jest prawdziwym ostrzeżeniem. Wielu ludzi w Delve musiało wiedzieć. Widzieli identyczne raporty, bezsensowne dane testowe, literówkę na każdej kopii. Żaden z nich nie miał bezpiecznego sposobu, by o tym powiedzieć. Nie istniał zaufany kanał, który przyjąłby obawy pracownika, ukrył jego nazwisko i wymusił rzetelne przyjrzenie się sprawie. Więc prawda obrała okrężną drogę. Dotarła przez anonimowe osoby z zewnątrz, wiele miesięcy po pierwszych sygnałach.

Poufny kanał zgłoszeń istnieje dokładnie na taką chwilę. Pozwala jednemu zaniepokojonemu inżynierowi zgłosić problem bez ryzykowania swojej posady. Nie chodzi o papierologię. Wczesne, chronione zgłoszenie może zatrzymać małą zgniliznę, zanim urośnie do tej za 300 milionów dolarów. Delve miał dowody jak na dłoni. Nie miał nikogo wewnątrz, kto czułby się na tyle bezpiecznie, by uruchomić alarm.

Prawo amerykańskie rzeczywiście chroni część sygnalistów przed odwetem. Ale prawo na papierze to słabe pocieszenie wobec pozwu i publicznej łatki „hakera”. Większość ludzi waży to ryzyko i milczy. Właśnie dlatego kanał liczy się bardziej niż przepis. Pracownik najpierw potrzebuje bezpiecznej drogi, bo inaczej prawo do zgłoszenia nigdy nie zostaje wykorzystane.

Skutki dotarły do Y Combinatora, Insight Partners i sali sądowej

Film nie uratował firmy. W ciągu kilku dni Y Combinator usunął Delve ze swojego katalogu i poprosił założycieli o opuszczenie programu. To rzadkie publiczne zerwanie z kimś ze swoich. Insight Partners na krótko zdjął z sieci swój opis inwestycji. Poniższa oś czasu pokazuje, jak szybko ujawniony arkusz kalkulacyjny przerodził się w pełnoskalowy kryzys.

Drugi wpis DeepDelvera poszedł dalej niż niedbałe audyty. Zarzucił Delve, że wziął kod open source konkurencyjnego startupu z YC i odsprzedawał go jako własny produkt. To oskarżenie przesunęło historię z chodzenia na skróty w stronę kradzieży. Dla wielu obserwatorów to był moment, w którym współczucie zamieniło się w gniew.

Ryzyko prawne rozlało się z Delve na jego klientów. Pozew zbiorowy w sądzie federalnym w Kalifornii wymienił firmę w związku z „pozorowanymi audytami bezpieczeństwa”. Każda firma, która pokazała raport Delve swoim klientom, miała teraz problem. Jej obietnica bezpieczeństwa mogła się nie utrzymać. Środowisko księgowe również się poruszyło. Organ przeglądów partnerskich AICPA polecił recenzentom oznaczać identyczne oceny ryzyka i testy u różnych klientów.

Reakcja opinii publicznej mieściła się gdzieś między wściekłością a czarnym humorem. Jeden szeroko udostępniany wpis uchwycił nastrój. Sfałszowanie audytów było złe, ale do przeżycia, jak głosił, podczas gdy kradzież cudzego kodu startupowego „przekracza granicę”. Pod żartami kryła się prawdziwa obawa. Skoro firma z Y Combinatora, z markowymi inwestorami, mogła wypuścić setki wydmuszkowych audytów, to na ilu nieczytanych przez nikogo dokumentach opiera się rynek zgodności?

Dlaczego pieczątka SOC 2 przestała tu cokolwiek znaczyć

Głębsza lekcja dotyczy zaufania, a nie jednego startupu. Raport SOC 2 działa, bo kupujący zakłada, że ktoś niezależny przeprowadził sprawdzenie. Krytycy Delve twierdzą, że to założenie jest słabym punktem. Niemal nikt nie czyta dalej niż strona tytułowa. Clarence Chio, który prowadzi firmę zajmującą się zgodnością Coverbase, wyłożył rozwiązanie wprost.

„Pytanie »Czy ten dostawca ma SOC 2?« zawsze było złym pytaniem. Właściwe pytanie brzmi: »Czy ten dostawca rzeczywiście robi to, co deklaruje jego SOC 2?«”
Clarence Chio, prezes Coverbase

Ta przepaść, między posiadaniem certyfikatu a zasłużeniem na niego, leży u podstaw słynnych katastrof księgowych. Audytor Enronu, Arthur Andersen, podpisał się pod fikcją. WorldCom ukrył miliardy. Theranos sprzedawał produkt, który nigdy nie działał. Za każdym razem liczba, której ufała opinia publiczna, okazywała się ustawiona. Delve po prostu przeniósł tę sztuczkę z bilansu na odznakę bezpieczeństwa.

Stopka strony Delve po wybuchu skandalu: „Spoiler: zdaliśmy nasze audyty”. Zrzut ekranu z delve.co.

Zgodność, której nie można zweryfikować, nie jest zgodnością. Szybki audyt, który pomija sprawdzanie, jest gorszy niż brak audytu. Sprzedaje fałszywy spokój tym samym klientom, których powinien chronić. Firmy, które kupiły szybkość Delve, uczą się teraz, że pieczątka jest tylko tak uczciwa, jak proces, który za nią stoi.

W całej tej historii brakuje bezpiecznej drogi, która nigdy nie istniała. Oszustwo było widoczne od wewnątrz na długo przed tym, zanim ktoś z zewnątrz poskładał wszystko w całość. Pracownik z bezpiecznym, anonimowym sposobem zgłoszenia i realną ochroną przed odwetem mógł je ujawnić już w pierwszym tygodniu. Zamiast tego wyszło na jaw, gdy wartość, klienci i zaufanie już zniknęły. System dla sygnalistów taki jak WeMoral istnieje po to, by dać takiemu pracownikowi drzwi, które nie prowadzą prosto z powrotem do oskarżenia o „hakerstwo”. Delve to przykład tego, co się dzieje, gdy nikt takich drzwi nie ma.