导语

旧稿讨论过一个核心问题:当 AI 独角兽和企业软件公司把“合规认证”当成销售加速器,合规就很容易从安全治理退化成门面工程。新线索补强了两点。第一,Delve 在公司公开否认后,并没有让争议降温,匿名举报者又拿出了更多所谓视频和 Slack 记录,这让事件不再只是单次指控,而更像对公司内部做法的持续追问。第二,新信息把赛道里的边界问题说得更具体了:行业真正敏感的,不只是“自动化做合规”,而是平台有没有越过线,从帮助客户整理证据,走到替客户拼接、修饰甚至代做证据。

这也是这次升级版文章要处理的重点。问题已经不只是 Delve 有没有说真话,而是“合规即服务”这门生意到底在卖什么:是更低的风险,还是更顺滑的过审体验。

爆料进入第二回合,争议重心从公关回应转向证据链

Delve 的 CEO Karun Kaushik 在 X 上发布长文,否认外界关于“为客户合规审计伪造证据”的指控,并承诺做出调整。按创业公司危机处理的常规动作看,这本该是一次止血:先公开回应,再把问题压回内部调查。

但新线索显示,事情没有停在这里。匿名举报者“DeepDelver”很快再次发声,重申原有说法,并放出了更多所谓“收据”,包括视频和 Slack 聊天记录,还预告后面可能还有新材料。

这比旧稿阶段多出来的信息,不只是“又有爆料”这么简单。它改变了外界看待此事的方式:

  • 这不再是一次孤立指控,而像是连续披露
  • 公司否认后,舆论并未回到“各执一词”的静止状态
  • 如果后续材料继续出现,压力会从品牌层面转向流程层面,外界会开始追问公司内部究竟如何定义“协助客户完成审计”

对一家做合规自动化的公司来说,这个变化很要命。普通 SaaS 产品遇到争议,最多伤的是功能信誉;合规平台遇到这种质疑,伤的是“可信代理人”的身份。客户买它,不是为了一个炫目的界面,而是为了更顺利地跨过采购、审计和监管门槛。一旦外界怀疑它提供的是包装后的可信外观,这套商业逻辑就会变脆。

Delve 卖的是进入企业市场的门票,这决定了它的风险放大方式

Delve 之所以能在资本市场拿到高估值,逻辑并不复杂。今天大量 SaaS、云服务和 AI 创业公司想进企业采购名单,先要过的往往不是产品评审,而是安全与合规审查。SOC 2、ISO、GDPR、控制项映射、审计材料、客户问卷,这些东西很少直接创造产品价值,却决定你能不能进入销售流程。

Delve 这类平台切入的,就是这块又慢、又贵、又重复的工作。它帮助企业准备材料、收集证据、跟审计方协作,把原本依赖顾问和内部 GRC 团队的流程尽量软件化。这个方向本身没有问题,而且需求真实。Delve 出身 YC,去年夏天拿到 Insight 领投的 3200 万美元 A 轮融资,估值达到 3 亿美元,这说明资本相信这门生意足够大。

新线索相对旧稿补强的,是这类平台的商业诱因和风险诱因其实来自同一个地方:

  • 客户想更快拿证,缩短销售周期
  • 投资人喜欢“高黏性、强刚需、标准化”的基础设施故事
  • 平台为了证明效率,会不断把“帮客户做得更快”变成卖点

问题就在这里。只要市场奖励的是“更快过审”,平台就会被推着往前走。开始时只是自动抓取云配置、整理截图、生成问卷答案模板;再往前一步,就可能变成替客户补叙述、拼材料、选择更好看的表达方式;再往前一步,边界就模糊了。

旧稿已经谈到“合规认证可能沦为 JPEG 贴纸”。新线索让这个比喻落到了更具体的动作上:风险不是一家公司把证书贴在官网上,而是整条链路都开始默认,证书背后的生成过程可以被高度包装,只要最后能交付一个看起来合格的结果。

行业真正尴尬的地方,是很多公司买到的未必是安全,而是安全感

新摘要里有一句话很关键:很多企业买到的可能不是安全,而是安全感。这比“假合规”更准确,因为它点出了客户真实在购买的东西。

企业采购安全和合规服务,当然希望降低风险。但在现实里,很多采购动作先服务于内部问责和对外交代:有证书,有报告,有控制项,有第三方背书,出了问题时至少能说明“流程走过了”。这套机制本身并不荒唐,大公司不可能对每家供应商做无限深的实地审查,只能依赖标准化材料和审计结果来缩小判断成本。

问题在于,这会天然鼓励“文书上更完整”压过“运营上更扎实”。新线索给了一个很现实的对照:Delve 的知名客户之一 LiteLLM,近期其开源项目遭遇恶意软件感染,而该项目据称正是通过 Delve 获得了两项安全认证。这里不能直接得出“认证无效”这种简单结论,因为认证本来就不是零事故保险,也不覆盖一切开发和供应链场景。

但这个案例至少说明一件事:

  • 证书证明的是在某个时间点、某个范围内,控制设计和样本执行满足要求
  • 它不自动等于日常工程卫生做得足够好
  • 它更不等于开源依赖、供应链暴露、临时变更和团队习惯都已经被治好

这正是旧稿需要被补强的地方。过去我们说“合规不等于安全”,这句话太宽。新线索让它变得更具体:合规平台能优化的是证据流、问卷流和审计协作流,但真正决定安全上限的,仍然是权限治理、变更管理、依赖审查、日志响应、员工习惯这些慢变量。这些东西不能靠自动生成文档解决。

所以,如果一家平台把价值主张过度压在“更快拿证”,它服务的就不只是安全建设,也在服务客户对采购门槛的焦虑。客户买单的部分价值,确实是降低治理成本;但另一部分价值,可能只是更快地获得一份足以进入下一轮商业谈判的说明书。

Delve 事件最后会追到谁,取决于审计边界和客户动机能否说清

如果后续披露继续增加,这件事不会只停留在 Delve 和举报者之间。更现实的问题会落到三类对象身上。

1. 客户会被追问:你买的是工具,还是代做服务

很多早期创业公司没有成熟的 GRC 团队,也没有钱慢慢补流程。它们急着进大客户名单,就会偏爱那些承诺“帮你把复杂工作搞定”的平台。这是市场真实存在的需求,不必装作没有。

但客户自己也得承担边界责任。你可以把证据整理外包,把流程协同外包,把提醒和模板外包;你不能把本该由自己组织真实执行的控制活动一起外包,还假装这些动作已经在企业内部自然发生。

2. 审计机构会被追问:你的验证深度到底覆盖到哪里

审计从来都不是全天候驻场监督。它依赖样本、时间窗口、客户提供的材料,以及审计范围定义。很多人把审计报告想得过于全能,好像有了盖章就代表系统已经被彻底看透。不是这样。

新线索逼着行业面对一个现实限制:如果平台在前端高度参与材料生成和证据组织,审计机构就更需要说明,哪些内容是自动化收集,哪些是客户声明,哪些需要额外抽样验证。否则,报告很容易被市场误读成一种比实际更强的保证。

3. 投资人会被追问:你在奖励哪种增长

合规自动化好讲故事,因为它像基础设施,客户离不开,续费率通常不错,还能贴上 AI 自动化标签。问题是,如果投资人只看销售加速、客户增长和拿证效率,就会给公司一个强烈信号:速度比边界更重要。

这正是新线索相对旧稿增加的变量。旧稿更多在批评“把认证当贴纸”的行业心态;现在要补上一层更现实的判断:这种心态不是某个创始人的个人选择,而是客户、审计方、投资人共同塑造出来的激励结果。谁都想压缩周期,谁都默认材料能被更高效地生产,最后就容易把“高效准备”推到“过度代办”的一侧。

接下来该看什么:不是道歉力度,而是平台如何重新划线

接下来外界最该盯的,不是创始人还会不会继续发长文,而是几件更具体的事。

  • 公司会不会披露独立调查,调查范围是否覆盖内部工作流和客户交付流程
  • 平台会不会明确区分.哪些环节是自动化辅助,哪些环节必须由客户自己完成并留痕
  • 审计合作方会不会调整取证方式,对平台生成材料增加额外抽样或交叉验证
  • 客户采购团队会不会开始要求更清晰的责任划分,而不是只看“是否已拿到证书”

这些变量比公关表态更重要,因为它们决定这条赛道后面怎么活。合规自动化不会因为一次风波就消失,企业也不可能回到全手工做审计的年代。真正会被淘汰的,是那些把边界说不清、把效率卖成万能答案的平台。

对中国 SaaS、云安全和 AI 创业者来说,这件事也不是远处的八卦。国内外市场都在加快数据治理、隐私合规和 AI 风险管理,类似平台只会越来越多。很多团队也会遇到同样的诱惑:客户催进度,销售催签单,投资人催增长,于是“先把证拿下来”变成默认目标。

这时候最该问的,不是能不能更快,而是快到哪一步还算工具,越过哪一步就变成替客户表演合规。这个线一旦踩错,前面省下来的销售时间,后面会用信任成本加倍偿还。