A história da startup de compliance Delve continua enfrentando reviravoltas.
O TechCrunch confirmou que a Delve foi a empresa de conformidade que executou as certificações de segurança para a Context AI, a startup de treinamento de agentes de IA que divulgou na semana passada um incidente de segurança que levou a uma violação de dados no popular aplicativo e site de hospedagem da gigante Vercel.
Por outro lado, a Lovable, que teve seu próprio incidente de segurança, não é mais cliente da Delve.
Para recapitular: no mês passado, a Delve foi criticada quando um denunciante anônimo alegou que a startup estava falsificando dados de clientes e usando auditores carimbadores em seus processos de conformidade e certificações. Delve negou essas acusações.
Logo depois, hackers atacaram um dos clientes de certificação de segurança da Delve, LiteLLM, e plantaram malware em seu código-fonte aberto. Após o incidente, LiteLLM disse ao TechCrunch que estava abandonando o Delve e sendo recertificado.
A Delve também foi acusada de pegar uma ferramenta de código aberto e fazê-la passar por seu próprio trabalho, sem a devida atribuição de licença. A reputação da startup ficou instável, levando a Y Combinator, onde Delve se formou, a romper relações.
Avançando para o fim de semana passado, Vercel disse que hackers violaram seus sistemas internos e acessaram alguns dados de clientes. A empresa disse que hackers invadiram depois que um funcionário baixou um aplicativo feito pela Context AI e conectou esse aplicativo à conta corporativa da Vercel hospedada pelo Google. Os hackers abusaram do acesso daquele funcionário à sua conta do Google para invadir alguns sistemas internos da Vercel.
Depois que a Context AI foi nomeada no ataque Vercel, Gergely Orosz, autor do boletim informativo de engenharia, The Pragmatic Engineer, disse em um post no X que a Delve era a empresa que cuidava da certificação de segurança da Context AI.
A Context AI agora confirmou ao TechCrunch que usava Delve, mas desde então abandonou a inicialização e está em processo de recertificação.
“Sim, a Context era anteriormente um cliente Delve”, disse um porta-voz da Context AI ao TechCrunch. “Após os relatórios sobre o Delve em março, transferimos nosso programa de conformidade para Vanta e contratamos a Insight Assurance, uma empresa de auditoria independente, para realizar novos exames. Como parte do reexame, começamos a atualizar nossos materiais públicos e compartilharemos o novo atestado quando estiver concluído”, acrescentou o porta-voz.
As certificações de segurança por si só não eliminam os problemas de segurança. O objetivo deles é verificar se uma empresa possui políticas e processos em vigor para impedir ataques e reduzir a probabilidade de comprometimento dos dados dos clientes.
Caso em questão: Lovable era um cliente da Delve, mas depois que a declaração do denunciante foi divulgada, a plataforma de codificação de vibração disse que havia abandonado a startup no final de 2025. A empresa já completou novamente uma certificação de segurança e está em processo de refazer outras, disse.
Ainda assim, a Lovable admitiu na segunda-feira que compartilhou inadvertidamente o acesso aos dados de bate-papo do cliente publicamente. A empresa também disse que rejeitou relatórios de vulnerabilidade que alertaram a empresa sobre o problema meses antes. A Lovable pediu desculpas por inicialmente negar que houve uma violação de dados, embora tenha dito que o problema foi causado por um erro de configuração, e não por um hack.
Há notícias ainda mais estranhas circulando em torno de Delve. O denunciante anônimo, DeepDelver, publicou outra postagem alegando que a Delve estava negando reembolsos aos clientes, mas ainda assim levou sua equipe de mais de 20 pessoas para uma reunião externa no Havaí entre 15 e 19 de abril.
O denunciante compartilhou alguns recibos convincentes com o TechCrunch que dão credibilidade à suposta viagem ao Havaí, mas o TechCrunch não conseguiu confirmar outras alegações.
A Delve não respondeu aos pedidos de comentários e confirmação, e um e-mail enviado para seu endereço de relações com a mídia foi devolvido.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
