Скандал Вокруг Delve: Стартап За $300 Млн Обвиняют В Фейковых Сертификатах Compliance

Ключевые выводы

• Анонимный обвинитель DeepDelver опубликовал новые доказательства (видео, скриншоты Slack), обвиняя стартап Delve в подделке документов для клиентов на аудит.
• Основатель Delve Карун Каушик опроверг обвинения, но через день обвинитель doubling down, пообещав новые публикации.
• У Delve есть высокопольный клиент — проект LiteLLM, который неделю назад пострадал от утечки данных, хотя имел сертификаты от Delve.
• Стартап вышел из Y Combinator в 2023, основан 21-летним дропаутом MIT, привлёк $35 млн инвестиций, оценка — $300 млн.
• Случай ставит под вопрос ценность автоматической сертификации compliance для реальной защиты данных.

Представь: компания помогает другим wildly автоматически получать "бумажки" о безопасности данных. Но потом выясняется, что сама "бумажка" могла быть основана на фейках. А у одного из её клиентов в это же время данные всё равно утекают. Получается, сертификат здесь — просто галочка, а не гарантия? И кто потом ответит?

Что случилось: обвинения, опровержения и новые "доказательства"

Всё началось с длинного поста в X (бывший Twitter) от основателя и CEO Delve Каруна Каушика. Он опроверг обвинения в том, что его стартап подделывает данные для клиентов, проходящих аудит на соответствие стандартам вроде GDPR или SOC 2. Это стандартные "бумажки", которые компании показывают клиентам и инвесторам, доказывая, что с их данными всё в порядке.

Но уже на следующий день анонимный источник, называющий себя DeepDelver, выложил новый пост (изначально на Substack). Он не только подтвердил свои слова, но и представил "доказательства": якобы чеки, видео и переписку в Slack. DeepDelver также пообещал, что это не последний пост такого рода. Смотри, какая штука: конфликт перешёл из области общих слов в область логов и скриншотов. Но проверить подлинность этих доказательств со стороны сложно — они представлены анонимом.

Важный момент: DeepDelver ссылается на материалы TechCrunch (а мы на эту публикацию не ссылаемся), но сам пост — это прямое продолжение и ужесточение обвинений. Это уже не просто слухи, а заявление с "артефактами". Рамки дискуссии сместились: теперь вопрос не в "правда ли", а в "что за этими артефактами стоит".

Почему это взволновало индустрию

Потому что Delve — не какой-то тихий консультант. Это стартап, который прошл через Y Combinator, собрал солидные раунды и обещает автоматизировать сложный и дорогой процесс получения сертификатов. Если обвинения правдивы, это значит, что система, которая должна проверять безопасность, сама может быть неискренней. А это подрывает доверие ко всей модели "compliance-as-a-service".

Фигура DeepDelver: кто этот обвинитель?

Пока это аноним. Имя DeepDelver — псевдоним. Он позиционирует себя как кого-то, кто "залез глубоко" (deep delver) в системы компаний. Такие анонимные обличители в IT-сфере — обычное явление, но их мотивы всегда под вопросом. Возможно, это бывший сотрудник, конкурент или активист. Его активность на Substack и ссылки на авторитетные издания говорят о том, что он пытается дойти до широкой аудитории, а не только до инсайдеров. Его тактика — серия публикаций, каждая с новыми "доказательствами". Это создаёт нарратив постепенного раскрытия, который сложно игнорировать.

Фон компании Delve: основатель, инвестиции и продукт

Чтобы понять масштаб, глянь на цифры. Delve выпустила два major-ных релиза: получение сертификатов GDPR и SOC 2. Её клиенты — компании, которым нужно легально работать с пользовательскими данными (GDPR) или с инфраструктурой (SOC 2). Стартап автоматизирует часть работы: сбор доказательств, документооборот, коммуникацию с аудиторами.

Компания выросла на глазах:

• 2023: выход из инкубатора Y Combinator.
• Лето 2024: привлечение $3 млн на seed-раунде.
• Лето 2025: Series A на $32 млн от фонда Insight. Оценка — $300 млн.

Эти деньги и оценка — всё на одном нарративе: "мы делаем сложное — простым и быстрым". Но теперь этот нарратив подвергается проверке на честность.

Основатели: 21-летние дропауты MIT

Карун Каушик (Karun Kaushik) — 21 год, бросил MIT, чтобы заняться Delve. Это классический стартап-сюжет "молодой гений, бросающий учёбу". В пресс-релизах его рисуют как амбициозного предпринимателя. Его возраст и бэкграунд MIT добавляют стартапу привлекательности для инвесторов: вложения в будущее, disruption индустрии. Но с другой стороны, возраст может быть минусом в вопросах управления рисками и понимания регуляторных нюансов compliance. Инвестиции Insight, серьёзный венчурный фонд, дали компании легитимность. Теперь этот капитал и репутация под угрозой.

Контраст с инцидентом LiteLLM: когда "бумажка" не спасает

Одна из самых жёстких деталей в этой истории — связь с клиентом Delve по имени LiteLLM. LiteLLM — open-source проект, связанный с ИИ. На прошлой неделе у него случилась виральная утечка данных: в его код добавили malware.

Важный факт: LiteLLM использовал сервисы Delve для получения двух сертификатов безопасности. То есть, с точки зрения compliance, у проекта были "галочки", что всё в порядке. Но реальность оказалась иной — произошёл инцидент. Вот она, ключевая проблема рынка compliance: сертификация часто проверяет процессы и документацию на момент аудита, а не непрерывную безопасность операций. Delve мог честно собрать "доказательства" на определённый день, но система LiteLLM могла быть скомпрометирована через неделю после аудита.

Для обывателя это выглядит как парадокс: "Как так, у них есть сертификат, а данные утекли?" Для экспертов — это известный gap (пробел) в модели аудита. Но для публики и клиентов Delve это звучит как обман. Если твой supplier (поставщик услуг compliance) сам под вопросом, а у его клиентов случаются инциденты — доверие рушится. Скандал Delve и случай LiteLLM, хотя не доказано напрямую связаны, создают мощный негативный нарратив: "сертификаты не значат ничего".

Кто и почему может быть заинтересован в этой истории

Эта новость — не просто сплетня между стартапами. Она затрагивает несколько аудиторий:

• Инвесторы и венчурный мир: Это кейс о рисках вложения в регламентированные индустрии (fintech, healthtech, security). Оценка в $300 млн теперь под вопросом. Будет ли изначальный инвестор (Insight) защищать компанию или потребует объяснений?
• Клиенты SaaS-стартапов и IT-компаний: Те, кто заказывает у вендоров (вроде Delve) получение сертификатов, задумаются: а не тратят ли они деньги на "бумажку"? Возможно, придётся самим сильнее контролировать процессы.
• Аудиторы и консалтинговые фирмы (Big Four и boutique): Автоматизация — угроза их бизнесу. Если Delve падёт из-за скандала, это может замедлить внедрение Tools в compliance, вернув спрос к "живым" аудиторам.
• Регуляторы (вроде европейских органов по защите данных): Им бы интересно узнать, не является ли массовая автоматизация сертификаций новым каналом для ухода от ответственности. Могут ужесточить требования к доказательствам.
• Сами стартапы в сфере DevTools, cybersecurity, compliance: Это история-предупреждение. В сфере, построенной на доверии, малейшее подозрение в нечестности может уничтожить компанию за дни.

Что будет дальше: возможные развития

Сценарии следующие:

1. Доказательства DeepDelver окажутся фейком: Тогда Delve сможет массово оправдаться, подать в суд на клевету. Но репутационный урон будет. Инвесторы попытаются замять скандал.
2. Доказательства частично подтвердятся: Выяснится, что Delve действительно "помогал" клиентам с нечестными доказательствами, но官方но отрицал это. Тогда компанию ждут serious регуляторные разбирательства, отток клиентов, возможно, уголовное преследование в США или ЕС.
3. DeepDelver исчезнет или его раскроют: Если это был черный пиар от конкурента (другого compliance-вендора) или бывшего сотрудника с личной обидой, его раскрытие может временно спасти Delve, но не вернёт доверия полностью.
4. Любые дальнейшие инциденты у клиентов Delve: Если у ещё одного клиента с сертификатами от Delve произойдёт утечка, связь станет почти неопровержимой в публичном поле.

Главное, что нужно следить: ответ Lisa (Insight) и других инвесторов. Публично ли они поддержат команду? Начнут ли они internal investigation? Также важен юридический ответ: подаст ли Delve в суд на DeepDelver? Часто судебные иски — лучший способ публично доказать свою правоту, но они дорогие и долгие.

Ключевые сущности и их связи (граф знаний)

Вот как связаны основные игроки и концепции из этой истории, выстроенные в семантические триплеты:

• Delveinstance_of стартап в сфере compliance-автоматизации; type_of SaaS-компания; part_of экосистемы Y Combinator; raised $35 млн; founded_by Карун Каушик; provides автоматизацию для GDPR и SOC 2; accused_by DeepDelver; has_client LiteLLM.
• Karun Kaushikinstance_of основатель/CEO; age 21; education_status MIT dropout; published опровержение в X; linked_to Delve как создатель.
• DeepDelverinstance_of анонимный обвинитель; published посты на Substack; presented "доказательства" (видео, Slack); targets Delve; promised новые публикации.
• LiteLLMinstance_of open-source AI-проект; used_service_of Delve; obtained сертификаты (GDPR/SOC 2) через Delve; suffered инцидент утечки (malware) в марте 2026; is_example_of клиента, у которого случился инцидент несмотря на compliance.
• Compliance (GDPR, SOC 2)type_of нормативные требования; broader_term_of кибербезопасность; verified_through аудит; automated_by Delve; perceived_value низкая при реальных инцидентах (according to critics).
• Y Combinatorinstance_of инкубатор/акселератор; graduated Delve в 2023; part_of стартап-экосистемы.
• Insight Partnersinstance_of венчурный фонд; led раунд Series A Delve; related_to риск-инвестиции в B2B-стартапы.

Справка: ключевые сущности в деталях

Delve (стартап): Компания, основанная в 2023 году выходцами MIT. Специализируется на автоматизации процессов для получения сертификатов соответствия (compliance), таких как GDPR (защита данных в ЕС) и SOC 2 (безопасность данных у поставщиков услуг). За две года привлекла $35 млн, оценка достигла $300 млн. Её бизнес-модель — платная подписка (SaaS) за ускорение аудитов. Критики указывают, что автоматизация может подменять собой реальную проверку безопасности "бумажной" работой.

Карун Каушик (Karun Kaushik): 21-летний сооснователь и генеральный директор Delve. Вырос в рамках истории "молодого дропаута MIT", что стало частью маркетинга стартапа для привлечения венчурного капитала. Его публичное опровержение в X — попытка контролировать нарратив в соцсетях. Его возраст и опыт вызывают вопросы у некоторых экспертов о глубине понимания регуляторных рисков, с которыми работает его продукт.

DeepDelver (анонимный источник): Псевдоним лица, размещающего обвинения против Delve на платформе Substack. Активность началась в марте 2026 года. Использует тактику "капля за каплей": публикует серию постов с нарастающими "доказательствами" (скриншоты, видео, логи). Его анонимность затрудняет оценку достоверности, но упоминание авторитетных изданий (TechCrunch) добавляет вес обвинениям. Возможные мотивы: личная месть, черный пиар от конкурента, активизм против "facade compliance".

LiteLLM (клиент): Open-source проект, связанный с искусственным интеллектом, который использовал сервисы Delve для получения как минимум двух сертификатов безопасности (предположительно, SOC 2 и/или GDPR). В марте 2026 года стал жертвой инцидента безопасности: в его код была внедрена вредоносная программа (malware), что привело к широкому распространению проблемы в его пользовательской базе. Этот инцидент произошёл уже после получения сертификатов от Delve, что сильнее всего иллюстрирует разрыв между "бумажным" compliance и реальной безопасностью.

Compliance-сертификации (GDPR, SOC 2): GDPR (Общий регламент по защите данных) — европейский закон, требующий строгих мер для обработки персональных данных. SOC 2 (Service Organization Control 2) — американский стандарт аудита для поставщиков облачных услуг, фокусирующийся на безопасности, доступности, конфиденциальности. Эти сертификаты являются для многих компаний обязательным требованием клиентов и инвесторов. Delve обещает ускорить их получение. Критика в адрес всей модели: аудит фиксирует состояние SYSTEMS на момент проверки, но не гарантирует постоянную безопасность; автоматизация может снизить качество "живого" анализа рисков.

Вот и основная мысль: история с Delve — это не просто скандал одного стартапа. Это зеркало, в котором отражается боль всей индустрии compliance. Мы, возможно, слишком доверяем "галочкам" и сертификатам, не понимая, что за ними может стоять. А когда за "галочкой" следует реальная утечка, как у LiteLLM, доверие рушится сразу. Инвесторы должны задаваться вопросом: стоит ли ставить миллионы на такие модели? Клиенты — перепроверять лишний раз, а не полагаться на "автоматическую" бумажку? Этот случай, даже если обвинения не подтвердятся полностью, уже подмочил репутацию всего направления. И это, пожалуй, самый важный вывод.