当“合规”变成一场表演：Delve 再陷举报风波，AI 安全审计生意被撕开一道口子

一场创业公司公关反击，没能按下暂停键

Delve 的麻烦显然还没结束。

就在公司创始人兼 CEO Karun Kaushik 在 X 上发布长文，否认外界关于“为客户合规审计伪造证据”的指控、并承诺做出调整之后，匿名举报者“DeepDelver”很快再次发声，不但重申此前说法，还放出了更多所谓“收据”——包括视频和 Slack 聊天记录。更有意思，也更让人不安的是，这位举报者还预告：后面可能还有。

这类剧情，在科技圈并不陌生。先是匿名爆料，接着公司否认，再然后“聊天截图”“内部视频”“员工对话”轮番上场，像连续剧一样把一家创业公司拖进舆论泥潭。不同的是，这次争议发生在一个格外敏感的领域：合规自动化。Delve 做的不是外卖、社交或游戏，而是帮助企业拿安全认证、证明自己符合 GDPR 等法规要求。换句话说，它卖的是“可信赖”。而一旦“可信赖”本身开始被质疑，这比产品宕机还麻烦。

Delve 卖的不是软件，而是一张进入市场的门票

如果你没听过 Delve，这并不奇怪；但如果你在做 SaaS、云服务、AI 工具或者面向企业客户的软件，你大概率理解它在卖什么。

今天的 B2B 世界里，很多创业公司想把产品卖给大企业，第一关不是功能够不够强，而是表格够不够齐、流程够不够规范、证书够不够漂亮。SOC 2、ISO、GDPR、各种审计和控制项，几乎成了“进入采购流程”的基础门票。Delve 这类公司切入的，正是这块又烦、又贵、又慢的流程性生意：把原本要靠顾问、法务、安全团队手工完成的大量材料准备、证据收集、审计协作自动化。

这个方向本身很有市场。Delve 从 Y Combinator 毕业，创始团队是从 MIT 辍学出来创业的年轻人，去年夏天还拿到了由 Insight 领投的 3200 万美元 A 轮融资，估值达到 3 亿美元。对资本市场来说，这种故事很诱人：年轻、高增长、切中企业痛点、还能搭上 AI 和自动化的顺风车。

但也正因为如此，风险被放大了。合规自动化平台和普通效率工具不一样，它天然站在企业风控链条的中间。如果它只是帮客户“更高效地整理证据”，那是好事；如果它开始把“证明自己合规”这件事变成一种可包装、可修饰、甚至可表演的流程，那问题就不是一家初创公司的职业操守，而是整个行业的结构性诱惑。

真正刺眼的，不是爆料本身，而是行业早就默认的灰色地带

Delve 被指控“fake compliance”，这个词翻成中文，大概就是“假合规”或者“表演式合规”。它之所以扎人，是因为很多从业者心里都明白：现实世界中的合规，本来就不总等于安全。

一家企业拿到了认证，不代表它不会出安全事故；一份审计报告盖了章，也不代表内部流程真的跑得健康。就在上周，Delve 的知名客户之一 LiteLLM 还因为其开源项目被恶意软件感染而引发广泛关注，而这个项目据称正是通过 Delve 获得了两项安全认证。这当然不能简单推导出“认证没用”，因为合规认证从来不是零风险保险单。但它至少提醒我们：证书和现实安全能力之间，可能隔着一条相当宽的河。

这也是安全行业这些年最尴尬的悖论。企业越来越重视合规，花的钱越来越多，买的工具越来越先进，可真正的攻击面并没有因为证书堆得更高就自动缩小。很多安全负责人私下都会吐槽，合规项目常常像年度体检：报告写得工整，指标看起来正常，生活习惯却一点没变。你可以靠冲刺、补材料、临时修流程通过审核，但系统性的安全建设，没办法靠“赶工”完成。

Delve 事件之所以引发关注，是因为它把这个行业潜规则摆上了台面：客户究竟是在购买“更低的风险”，还是在购买“更好看的风险说明书”？如果答案越来越偏向后者，那“合规科技”就会慢慢变成一种文书工业，而不是安全基础设施。

AI 创业热潮下，合规平台正在被迫跑得比审计更快

把时间点拉远一点看，这起风波也踩中了 2026 年科技行业的一个核心焦虑：AI 创业公司增长太快，而治理和控制跟不上。

过去两年，大量 AI 初创企业涌入企业市场。它们想进大客户，必须尽快补齐安全与隐私短板；投资人希望它们缩短销售周期；客户采购团队则要求越来越多的文档、问卷、控制项和审计结果。于是，“自动化合规”成了一条非常合理、也非常拥挤的赛道。Vanta、Drata、Secureframe 等公司早已证明这个市场存在，后来者像 Delve 则试图把流程做得更快、更轻、更像软件产品。

问题在于，当市场奖励的是“更快拿证”“更快过审”“更快进入采购名单”时，平台和客户都会被激励去追求速度，而不是深度。创业公司最擅长优化流程，但安全和合规中最难啃的部分，恰恰不是流程，而是组织文化、权限治理、变更管理、供应链透明度这些慢功夫。你可以自动生成文档，可以自动抓取云配置，可以自动提醒员工完成培训，但你没法自动生成一种真正严肃的安全习惯。

所以我对这类公司的判断一直是：它们有价值，但也天然危险。价值在于把低效、重复、繁琐的合规流程数字化，确实能让中小企业少走很多弯路；危险在于，一旦它们把“帮助客户准备证据”做成“替客户制造可信外观”，边界就会迅速模糊。尤其是在 AI 创业高压增长的环境里，所有人都想快点过关，没人愿意听“请再花三个月补流程”这种扫兴的话。

Delve 的危机，也是在拷问审计、客户与投资人的共同责任

这件事最后未必会只停留在“举报者和公司各执一词”的层面。因为如果更多证据属实，那被追问的不仅是 Delve，还有客户、审计机构、投资人，甚至整个采购体系。

客户为什么会接受这种服务？很简单，因为现实很残酷。一个小团队想和大公司做生意，面对几十页安全问卷和繁复审计流程时，往往没钱雇成熟的 GRC 团队，也没有足够时间慢慢补课。于是，市场就会偏爱那些承诺“我们帮你搞定”的平台。审计机构为什么有时也没能挡住问题？因为很多审计本身就有样本限制、时间限制、材料依赖和流程盲区，它并不是全天候入驻式监督。投资人为什么追捧？因为这门生意看起来像基础设施，有高黏性、高客单价、明确痛点，还带一点 AI 自动化的性感故事。

但越是这样，越需要问一个不那么讨喜的问题：我们今天的企业安全采购，是不是过度依赖“格式正确”而忽视“实质有效”？如果一家公司能靠漂亮的控制项映射、整齐的证据库、流畅的销售演示拿下客户，而真实的安全运营能力却没有同步提升，那最终受伤的不会只是某个创业公司品牌，而是整个信任链。

从这个角度说，DeepDelver 的持续爆料，不只是给 Delve 添堵，也像在提醒所有人：别把安全审计当成 PPT 工程。真正危险的不是一两张截图，而是行业越来越习惯把“通过审核”误认成“已经安全”。这两者之间，差了不止一个打勾框。

如果 Delve 想挺过这一关，靠一封创始人的长文肯定不够。它需要更透明的调查、更具体的流程说明，也需要向客户解释哪些环节是自动化辅助，哪些环节绝不能越界代做。更进一步，合规科技公司可能都该重新划线：工具可以帮助企业建立秩序，但不能替企业伪装成熟。

这场风波也给中国的 SaaS、云安全和 AI 创业者提了个醒。随着国内外企业都在加速走向数据治理、隐私合规和 AI 风险管理，未来类似平台只会越来越多。谁都想做“卖铲子”的人，但别忘了，合规这门生意卖的不是幻觉，而是信任。一旦信任被发现是贴上去的，商业故事就会塌得非常快。