Outro cliente da problemática startup Delve sofreu um grande incidente de segurança

A história da startup de compliance Delve continua enfrentando reviravoltas.

O TechCrunch confirmou que a Delve foi a empresa de conformidade que realizou as certificações de segurança para a Context AI, a startup de treinamento de agentes de IA que divulgou na semana passada um incidente de segurança que levou a uma violação de dados na popular gigante de hospedagem de aplicativos e sites Vercel.

Por outro lado, a Lovable, que teve seu próprio incidente de segurança, não é mais cliente da Delve.

Para recapitular: no mês passado, a Delve foi criticada quando um denunciante anônimo alegou que a startup estava falsificando dados do clientee usando auditores carimbadores em seus processos de conformidade e certificações. Delve negou essas acusações.

Logo depois, hackers atacaram um dos clientes de certificação de segurança da Delve, LiteLLMe plantou malware em seu código-fonte aberto. Após o incidente, LiteLLM disse ao TechCrunch estava abandonando o Delve e sendo recertificado.

Delve também foi acusado de usar uma ferramenta de código aberto e fazendo-o passar por seu próprio trabalho sem a devida atribuição de licença. A reputação da startup ficou instável, levando Y Combinator, onde Delve se formoupara romper laços.

Avançando para o fim de semana passado, Vercel disse que os hackers tinham violou seus sistemas internos e acessou alguns dados de clientes. A empresa disse que hackers invadiram depois que um funcionário baixou um aplicativo feito pela Context AI e conectou esse aplicativo à conta corporativa da Vercel hospedada pelo Google. Os hackers abusaram do acesso daquele funcionário à sua conta do Google para invadir alguns sistemas internos da Vercel.

Depois que a Context AI foi nomeada no ataque Vercel, Gergely Orosz, autor do boletim informativo de engenharia, The Pragmatic Engineer, disse em uma postagem no X que a Delve foi a empresa que administrou a certificação de segurança da Context AI.

A Context AI agora confirmou ao TechCrunch que usava Delve, mas desde então abandonou a inicialização e está em processo de recertificação.

“Sim, a Context era anteriormente um cliente Delve”, disse um porta-voz da Context AI ao TechCrunch. “Após os relatórios sobre o Delve em março, transferimos nosso programa de conformidade para Vanta e contratamos a Insight Assurance, uma empresa de auditoria independente, para realizar novos exames. Como parte do reexame, começamos a atualizar nossos materiais públicos e compartilharemos o novo atestado quando estiver concluído”, acrescentou o porta-voz.

As certificações de segurança por si só não eliminam os problemas de segurança. O objetivo deles é verificar se uma empresa possui políticas e processos em vigor para impedir ataques e reduzir a probabilidade de comprometimento dos dados dos clientes.

Caso em questão: Lovable era um cliente da Delve, mas depois que as alegações do denunciante foram divulgadas, a plataforma de codificação de vibração disse que abandonou a startup no final de 2025. A empresa já concluiu novamente uma certificação de segurança e está em processo de refazer outras, disse.

Ainda assim, adorável em Segunda-feira admitido que havia inadvertidamente compartilhado publicamente o acesso aos dados de bate-papo do cliente. A empresa também disse que rejeitou relatórios de vulnerabilidade que alertaram a empresa sobre o problema meses antes. A Lovable pediu desculpas por negar inicialmente que houve uma violação de dados, embora tenha dito que o problema foi causado por um erro de configuração, e não por um hack.

Há notícias ainda mais estranhas circulando em torno de Delve. O denunciante anônimo, DeepDelver, publicou outro post alegando que a Delve estava negando reembolso aos clientes, mas ainda assim levou sua equipe de mais de 20 pessoas para uma reunião externa no Havaí entre 15 e 19 de abril.

O denunciante compartilhou alguns recibos convincentes com o TechCrunch que dão credibilidade à suposta viagem ao Havaí, mas o TechCrunch não conseguiu confirmar outras alegações.

A Delve não respondeu aos pedidos de comentários e confirmação, e um e-mail enviado para seu endereço de relações com a mídia foi devolvido.