La controverse autour de Delve semble avoir coûté à la startup de conformité sa relation avec l’accélérateur Y Combinator.
Delve ne figure plus dans l’annuaire des sociétés du portefeuille de YC, et la page Delve semble avoir été supprimée du site Web de YC. De plus, Selin Kocalar, COO de la startup, a publié sur X que « YC et Delve se sont séparés ».
« Je me souviens encore du jour où nous avons passé notre entretien avec YC au MIT », a déclaré Kocalar. «Nous sommes très reconnaissants envers la communauté et tous les amis fondateurs que nous nous sommes fait.»
YC n’est pas le premier investisseur à se démarquer de Delve. Insight Partners semble également avoir supprimé des articles sur son investissement dans l’entreprise, bien que son article de blog principal ait ensuite été restauré.
Pendant ce temps, Delve continue de s’opposer aux affirmations anonymes selon lesquelles elle aurait induit ses clients en erreur en leur disant qu’ils se conformaient aux réglementations en matière de confidentialité et de sécurité tout en ignorant des exigences importantes et en générant automatiquement des rapports pour les « usines de certification qui approuvent les rapports ».
Ces affirmations ont été publiées pour la première fois dans un message anonyme de Substack attribué à « DeepDelver », qui se décrit comme un ancien client de Delve devenu méfiant après avoir reçu une fuite de données sur les clients de la startup.
DeepDelver a publié des articles ultérieurs partageant ce qu’ils ont dit être des articles Slack et vidéo de l’entreprise, et accusant Delve de faire passer un outil open source pour le sien, sans donner de crédit ni parvenir à un accord avec le développeur. Un chercheur en sécurité a également déclaré qu’il était en mesure d’accéder aux données sensibles de Delve.
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
Pendant ce temps, Delve a été impliqué dans une controverse connexe lorsque un logiciel malveillant a été découvert dans un projet open source développé par LiteLLM, client de Delve.
Dans le dernier article de blog de l’entreprise, Kocalar, le directeur de l’exploitation et Karun Kaushik, le PDG de Delve, ont déclaré leur intention de remettre les pendules à l’heure concernant les attaques anonymes. Entre autres choses, ils ont affirmé que l’entreprise avait embauché une société de cybersécurité « pour nous aider à comprendre ce qui s’est passé », et ont déclaré que « les preuves indiquent une attaque malveillante plutôt qu’un véritable lanceur d’alerte ».
« Il semble qu’un attaquant ait acheté Delve sous de faux prétextes, exfiltré de manière malveillante des données, y compris les données internes de l’entreprise Delve, et les a utilisées pour lancer une campagne de diffamation coordonnée contre nous », ont-ils déclaré. Le billet de blog comprend également une capture d’écran qui, selon eux, « montre l’attaquant exfiltrant notre feuille de calcul de suivi d’audit via file.io ».
Au-delà de cette accusation, Delve a également décrit les critiques de DeepDelver comme « un mélange d’affirmations fabriquées, de captures d’écran triées sur le volet et de données prises hors contexte ». Par exemple, ils ont déclaré que DeepDelver « rejette notre IA tout en reconnaissant qu’elle a automatisé 70 % d’un questionnaire de sécurité ».
Sur la question de l’utilisation d’outils open source, Delve a déclaré qu’il « s’est appuyé sur un référentiel open source Apache 2.0, qui autorise explicitement une utilisation commerciale, et l’a considérablement reconstruit pour les cas d’utilisation de conformité ».
Cependant, les dirigeants ont également déclaré qu’ils avaient pris des mesures pour garantir que les clients « aient confiance dans notre plateforme et dans nos résultats en matière de conformité ».
Ces étapes sont censées inclure le nettoyage du réseau de l’entreprise pour supprimer les cabinets d’audit « qui ne répondent pas à nos normes », « offrir des ré-audits et des tests d’intrusion gratuits à tous les clients actifs » et indiquer « sans ambiguïté » que les modèles de Delve pour des choses comme les notes de réunion du conseil d’administration « sont conçus pour être uniquement des points de départ ».
Dans un article sur
TechCrunch a contacté Y Combinator et DeepDelver pour toute réponse aux commentaires de Delve.

