Η Delve, startup αυτοματοποίησης συμμόρφωσης, διέκοψε τη σχέση της με τον επιταχυντή Y Combinator μετά από σοβαρές καταγγελίες. Η υπόθεση ανοίγει δύσκολα ερωτήματα για την αξιοπιστία εργαλείων compliance στην εποχή της τεχνητής νοημοσύνης.
Η Delve, μια νεοφυής εταιρεία λογισμικού που υπόσχεται αυτοματοποίηση ελέγχων συμμόρφωσης σε θέματα ιδιωτικότητας και ασφάλειας, βρέθηκε στο επίκεντρο θύελλας καταγγελιών, με άμεση συνέπεια να «χωρίσουν οι δρόμοι» της με τον κορυφαίο επιταχυντή Y Combinator. Η εταιρεία δεν εμφανίζεται πλέον στον κατάλογο συμμετοχών του YC, ενώ η σελίδα της έχει αφαιρεθεί, γεγονός που επιβεβαιώνεται και από ανάρτηση της COO Σελίν Κοτσαλάρ στην πλατφόρμα X, όπου αναφέρει ότι «YC και Delve έχουν χωρίσει τους δρόμους τους».
Καταγγελίες για «ψεύτικη συμμόρφωση» και ανώνυμος καταγγέλλων
Η κρίση γύρω από τη Delve ξεκίνησε όταν σε ανώνυμο Substack, από χρήστη με το ψευδώνυμο «DeepDelver», διατυπώθηκαν βαριές κατηγορίες ότι η εταιρεία παραπλανούσε πελάτες. Σύμφωνα με αυτές, η Delve διαβεβαίωνε επιχειρήσεις ότι συμμορφώνονται με ρυθμιστικά πλαίσια προστασίας δεδομένων και ασφάλειας, ενώ στην πράξη φερόταν να παρακάμπτει κρίσιμες απαιτήσεις, να αυτοματοποιεί την παραγωγή εκθέσεων και να τις στέλνει σε «certification mills» που απλώς σφράγιζαν τα έγγραφα χωρίς ουσιαστικό έλεγχο.
Ο DeepDelver υποστηρίζει ότι είναι πρώην πελάτης που άρχισε να υποψιάζεται προβλήματα μετά τη λήψη διαρροής δεδομένων σχετικά με άλλους πελάτες της Delve. Σε επόμενες αναρτήσεις δημοσίευσε – όπως ισχυρίζεται – αποσπάσματα από Slack και βίντεο της εταιρείας, αλλά και κατηγόρησε τη Delve ότι παρουσίαζε ως δικό της ένα open source εργαλείο, χωρίς αναφορά ή συμφωνία με τον αρχικό δημιουργό. Παράλληλα, ερευνητής κυβερνοασφάλειας ανέφερε ότι κατάφερε να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα της Delve.
Αντεπίθεση Delve: «κακόβουλη επίθεση» και κινήσεις αποκατάστασης
Η διοίκηση της Delve, με επικεφαλής τον CEO Καρούν Κόσικ και την COO Σελίν Κοτσαλάρ, απαντά με μια σκληρή γραμμή άμυνας. Σε πρόσφατη ανάρτηση στο εταιρικό blog δηλώνουν ότι θέλουν να «βάλουν τα πράγματα στη θέση τους» απέναντι σε «ανώνυμες επιθέσεις» και ισχυρίζονται ότι προσέλαβαν ανεξάρτητη εταιρεία κυβερνοασφάλειας για να διερευνήσει την υπόθεση. Σύμφωνα με τη δική τους εκδοχή, «τα στοιχεία δείχνουν κακόβουλη επίθεση και όχι γνήσιο whistleblower».
Όπως αναφέρουν, «φαίνεται πως ένας επιτιθέμενος αγόρασε τη Delve υπό ψευδείς προφάσεις, υπέκλεψε δεδομένα – περιλαμβανομένων εσωτερικών αρχείων – και τα χρησιμοποίησε για μια συντονισμένη εκστρατεία σπίλωσης». Δημοσιεύουν μάλιστα στιγμιότυπο οθόνης που, όπως ισχυρίζονται, απεικονίζει την εξαγωγή ενός audit tracking spreadsheet μέσω της υπηρεσίας file.io. Παράλληλα, απορρίπτουν τις κατηγορίες ως «μίγμα κατασκευασμένων ισχυρισμών, επιλεκτικών screenshots και δεδομένων εκτός πλαισίου», σημειώνοντας ειρωνικά ότι ο ανώνυμος επικριτής «απορρίπτει την τεχνητή νοημοσύνη μας, ενώ παραδέχεται ότι αυτοματοποίησε το 70% ενός security questionnaire».
Σε ό,τι αφορά τη χρήση open source εργαλείων, η εταιρεία υποστηρίζει ότι βασίστηκε σε αποθετήριο με άδεια Apache 2.0, η οποία επιτρέπει ρητά εμπορική αξιοποίηση, και ότι το τροποποίησε σημαντικά για εξειδικευμένες χρήσεις συμμόρφωσης.
Αποστασιοποίηση επενδυτών και ευρύτερες προεκτάσεις
Ο Y Combinator δεν είναι ο μόνος που κρατά αποστάσεις. Ο επενδυτικός όμιλος Insight Partners φέρεται επίσης να είχε αφαιρέσει αναρτήσεις για την επένδυσή του στη Delve, πριν επαναφέρει τουλάχιστον μία. Η εικόνα αυτή ενισχύει την εντύπωση ότι η αγορά κεφαλαίου παρακολουθεί με ανησυχία την υπόθεση και επιχειρεί damage control.
Η Delve, από την πλευρά της, ανακοινώνει μέτρα για να αποκαταστήσει την εμπιστοσύνη πελατών: «καθάρισμα» του δικτύου συνεργαζόμενων ελεγκτικών εταιρειών που «δεν πληρούν τα πρότυπά μας», δωρεάν επανελέγχους (re‑audits) και penetration tests για όλους τους ενεργούς πελάτες, καθώς και σαφέστερη επισήμανση ότι templates για πρακτικά διοικητικών συμβουλίων και άλλα έγγραφα αποτελούν μόνο σημεία εκκίνησης. Σε ανάρτησή του στο X, ο Καρούν Κόσικ παραδέχεται ότι «μεγαλώσαμε πολύ γρήγορα και υστερήσαμε σε σχέση με τα δικά μας στάνταρ», ζητώντας συγγνώμη για τις «ενοχλήσεις» προς τους πελάτες.
Πέρα από το μεμονωμένο περιστατικό, η υπόθεση Delve φωτίζει έναν δομικό κίνδυνο: την υπερβολική εξάρτηση επιχειρήσεων από black‑box λύσεις συμμόρφωσης που συνδυάζουν αυτοματοποίηση, AI και outsourcing σε τρίτους ελεγκτές. Σε κλάδους όπου η ρυθμιστική συμμόρφωση είναι υπαρξιακό ζήτημα – από fintech μέχρι υγεία – η εμπιστοσύνη σε τέτοια εργαλεία αποτελεί πηγή τεράστιου λειτουργικού και νομικού ρίσκου, ιδίως όταν η διαφάνεια για τα πραγματικά controls είναι περιορισμένη.
Σχόλιο 
: Η αποστασιοποίηση του Y Combinator στέλνει ηχηρό μήνυμα σε όλο το οικοσύστημα: τα μοντέλα «compliance as a service» δεν κρίνονται μόνο από την ταχύτητα και την ευκολία τους, αλλά πρωτίστως από την ακεραιότητα και τη διαφάνεια. Για επενδυτές και πελάτες, η υπόθεση Delve λειτουργεί ως προειδοποίηση ότι η due diligence σε εταιρείες κυβερνοασφάλειας και συμμόρφωσης πρέπει να είναι βαθύτερη από τα pitch decks και τα marketing claims – ειδικά όταν η τεχνητή νοημοσύνη χρησιμοποιείται ως «μαύρο κουτί» για κρίσιμες ρυθμιστικές υποχρεώσεις.
#startups #Delve #YCombinator #συμμόρφωση #κυβερνοασφάλεια #AI
