L’histoire de Delve, une startup en difficulté en matière de conformité, ne cesse de connaître des rebondissements.
TechCrunch a confirmé que Delve était la société de conformité qui a effectué les certifications de sécurité pour Context AI, la startup de formation d’agents IA qui a révélé la semaine dernière un incident de sécurité qui a conduit à une violation de données chez le géant de l’hébergement d’applications et de sites Web populaire Vercel.
En revanche, Lovable, qui a connu son propre incident de sécurité, n’est plus client de Delve.
Pour récapituler : le mois dernier, Delve a été critiquée lorsqu’un lanceur d’alerte anonyme a allégué que la startup falsifiait les données des clients et utilisait des auditeurs d’approbation automatique dans ses processus de conformité et de certification. Delve a nié ces allégations.
Peu de temps après, des pirates ont attaqué l’un des clients de certification de sécurité de Delve, LiteLLM, et ont implanté des logiciels malveillants dans son code open source. Après l’incident, LiteLLM a déclaré à TechCrunch qu’il abandonnait Delve et qu’il était recertifié.
Delve a également été accusé d’avoir pris un outil open source et de l’avoir fait passer pour son propre travail sans attribution de licence appropriée. La réputation de la startup a été ébranlée, ce qui a incité Y Combinator, dont Delve a obtenu son diplôme, à rompre ses liens.
Avance rapide jusqu’au week-end dernier, Vercel a déclaré que des pirates informatiques avaient violé ses systèmes internes et accédé à certaines données de clients. La société a déclaré que des pirates informatiques étaient entrés par effraction après qu’un employé avait téléchargé une application créée par Context AI et connecté cette application au compte d’entreprise de Vercel hébergé par Google. Les pirates ont abusé de l’accès de cet employé à son compte Google pour pénétrer dans certains systèmes internes de Vercel.
Après que Context AI ait été nommé dans l’attaque de Vercel, Gergely Orosz, auteur du bulletin d’information d’ingénierie The Pragmatic Engineer, a déclaré dans un article sur X que Delve était la société qui gérait la certification de sécurité de Context AI.
Context AI a maintenant confirmé à TechCrunch qu’il utilisait Delve, mais il a depuis abandonné la startup et est en train d’être recertifié.
« Oui, Context était auparavant un client de Delve », a déclaré à TechCrunch un porte-parole de Context AI. « À la suite du rapport concernant Delve en mars, nous avons transféré notre programme de conformité vers Vanta et engagé Insight Assurance, un cabinet d’audit indépendant, pour mener de nouveaux examens. Dans le cadre du réexamen, nous avons commencé à mettre à jour nos documents publics et nous partagerons la nouvelle attestation lorsqu’elle sera terminée », a ajouté le porte-parole.
Les certifications de sécurité à elles seules ne résolvent pas les problèmes de sécurité. Ils visent à vérifier qu’une entreprise a mis en place des politiques et des processus pour empêcher les attaques et réduire la probabilité que les données des clients soient compromises.
Exemple concret : Lovable était un client de Delve, mais après la publication des allégations du lanceur d’alerte, la plate-forme de codage d’ambiance a déclaré qu’elle avait abandonné la startup fin 2025. La société a déjà complété une certification de sécurité et est en train d’en refaire d’autres, a-t-elle déclaré.
Pourtant, Lovable a admis lundi avoir partagé publiquement par inadvertance l’accès aux données de discussion des clients. La société a également déclaré avoir rejeté les rapports de vulnérabilité qui l’avaient alertée du problème des mois plus tôt. Lovable s’est excusé d’avoir initialement nié l’existence d’une violation de données, tout en affirmant que le problème était dû à une erreur de configuration plutôt qu’à un piratage.
Des nouvelles encore plus étranges circulent autour de Delve. Le lanceur d’alerte anonyme, DeepDelver, a publié un autre article alléguant que Delve refusait les remboursements aux clients, mais avait quand même emmené son équipe de plus de 20 personnes à une réunion hors site à Hawaï entre le 15 et le 19 avril.
Le lanceur d’alerte a partagé avec TechCrunch des reçus convaincants qui donnent du crédit au prétendu voyage à Hawaï, mais TechCrunch n’a pas pu confirmer d’autres affirmations.
Delve n’a pas répondu aux demandes de commentaires et de confirmation, et un e-mail envoyé à son adresse de relations avec les médias a été renvoyé.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
