一场恶意软件风波后，LiteLLM与Delve“切割”：AI安全合规，不能只买一张证书

最近 AI 圈又上演了一出相当扎心的现实剧：一家服务数百万开发者的热门 AI 网关公司 LiteLLM，在被恶意软件狠狠咬了一口之后，公开宣布与此前合作的安全合规创业公司 Delve 分道扬镳，并准备用新的供应商和独立审计机构，重新做一遍安全认证。

这条新闻表面上看，是一家初创公司换了个合规服务商；但如果你把时间线拉长一点，就会发现它更像是 AI 行业“合规泡沫”被戳破后的连锁反应。LiteLLM 遭遇的是凭证窃取类恶意软件，伤的不是一个普通网页，而是开发者和企业最敏感的一类资产之一：访问密钥、账号权限、生产环境入口。偏偏在出事前，它已经通过 Delve 拿到了两项安全合规认证。这种反差，足以让整个市场神经紧绷。

认证还在，信任没了

根据 TechCrunch 报道，LiteLLM CTO Ishaan Jaffer 已经在 X 上明确表示，公司将改用 Delve 的竞争对手 Vanta，并且寻找独立的第三方审计机构来重新验证自身的合规控制。这句话其实非常重：不是简单“换平台”，而是把“独立审计”这几个字重新拎回了台面。

为什么这么做？因为 Delve 当前正陷入一场相当难看的争议。它被指控误导客户的真实合规状况，甚至涉嫌生成虚假数据，并使用“走过场”的审计人员为报告盖章。Delve 创始人当然否认了这些指控，还提出给客户免费复测和重新审计。可问题在于，匿名吹哨人并没有退场，反而继续甩出所谓“收据”和证据。到这个阶段，LiteLLM 的选择已经不只是技术决策，而是品牌和信誉决策。

对一家做 AI 基础设施的公司来说，最怕的不是犯错，而是外界怀疑你连“发现错误的机制”都不可靠。证书可以贴在官网，信任却不能靠 PDF 文件下载。

AI 创业公司最容易忽略的，不是模型，而是后门

LiteLLM 这类 AI gateway，本质上处在一个很关键的位置：它夹在开发者、企业应用和大模型服务之间，像一座收费站，也像一个总闸门。谁调用了哪家模型、怎么做路由、如何控成本、怎样管理 token 和 API key，很多都要经过这类平台。因此，一旦凭证被窃取，事情就不是“某个员工电脑中毒”那么简单，而可能外溢到客户环境、账单、数据访问乃至下游应用链路。

过去一年，AI 行业最热的词是 agent、推理、上下文窗口、模型价格战，但说实话，真正决定一家 AI 基础设施公司能不能活长久的，往往不是 benchmark 跑分，而是权限管理、日志留存、密钥轮换、供应链审计这些听上去毫无流量的脏活累活。很多创业公司在这件事上的心态很像学生赶论文：离截止日期近了，赶紧找个工具把表格填完、流程补齐、证书挂上，然后就以为万事大吉。

问题是，安全合规不是“交作业”，而是“建立习惯”。SOC 2、ISO 27001 这些认证，本来是用来验证企业是否有持续的控制流程，而不是颁发一张能拿去见客户的门票。如今 Delve 的争议之所以引发这么大反响，就是因为它戳中了创业圈一个隐秘但普遍的焦虑：我们买到的，到底是安全能力，还是安全包装？

Delve麻烦的不只是名声，而是它踩中了行业软肋

如果 Delve 最终被证明确实存在“伪合规”问题，那么受伤的绝不只有它自己。整个安全合规 SaaS 赛道都会被重新审视。过去几年，随着云服务、远程办公和 AI 创业爆发，合规工具公司一路高歌猛进。它们承诺把原本昂贵、繁琐、痛苦的审计流程产品化、自动化，让几十人的初创团队也能在较短时间内拿到企业客户所要求的认证。

这个方向本身没有错，甚至可以说非常必要。像 Vanta、Drata、Secureframe 这一类玩家，本来就是把“繁琐合规”变成“软件流程”，大幅降低了企业进入门槛。问题出在，当市场开始追求速度，速度就容易吞掉严谨。客户想快点签单，创业公司想快点过审，服务商想证明自己效率高，于是“自动化合规”很容易滑向“形式化合规”。看板全绿，不代表系统真的安全；问卷都填了，不代表控制真正执行；审计通过了，也不意味着供应链里没有烂洞。

这让我想起云计算早期一个很常见的误区：把“用了云厂商的安全能力”误以为“我的业务天然安全”。实际上，责任从来不是外包出去就消失了。同样的道理，合规也不能因为有了平台就自动成立。尤其在 AI 场景里，模型调用、日志内容、训练数据、插件连接、第三方 API、浏览器扩展、CI/CD 工具，全都可能成为攻击入口。今天是凭证窃取恶意软件，明天可能就是训练数据污染，或者 agent 权限越界。

LiteLLM的“补考”，可能会变成全行业的统一考试

LiteLLM 这次重新认证，看上去像是一场被迫补考，但我怀疑它会引发更广泛的连锁效应。接下来，很多依赖 Delve 的客户恐怕都要重新盘点：我们现有的认证到底靠不靠谱？有没有必要引入真正独立的审计方？那些已经拿着证书去敲大客户大门的公司，会不会被要求补材料、补审计、补证据链？

更现实的是，大客户采购团队和法务部门大概率会变得更强硬。以前看到“已通过某某认证”可能就放行了，今后恐怕会追问得更细：审计机构是谁？底稿如何保存？控制测试是自动抓取还是人工抽样？证据是否可追溯？有没有独立复核？对于很多 AI 创业公司来说，这会让销售周期变长、合规成本变高，但从长期看，这是好事。因为真正糟糕的不是审计太严格，而是行业默认“差不多就行”。

从 LiteLLM 的角度看，及时切割 Delve 是理性的，甚至算得上必要。它不能让外界把恶意软件事件与争议合规服务商长期绑在一起。换句话说，它现在是在用行动告诉市场：我们承认过去的选择可能不够稳妥，但我们愿意重建信任。这个姿态至少比沉默更有价值。

当然，另一个更尖锐的问题也摆在所有人面前：如果一家已经做过安全认证的公司，仍然会遭遇如此严重的凭证窃取事件，那么现有这套认证体系到底能在多大程度上反映真实风险？这不是 LiteLLM 一家的尴尬，而是整个安全合规行业都必须面对的拷问。

认证从来不是保险箱，它最多是一张体检报告。体检合格，不代表你明天不会生病；同理，通过审计，不代表攻击者就会绕着你走。真正有效的安全，是持续运营能力，是事故响应速度，是密钥泄露后能不能迅速轮换，是日志里能不能及时发现异常，是团队有没有把“默认不信任”写进日常流程里。

说到底，AI 行业最近两年太迷恋“加速”了，连安全都想一键加速。可安全这件事偏偏最不讲武德：它专挑你省略的步骤下手。LiteLLM 这次与 Delve 切割，不只是一次公关止损，也像是给整个行业敲了一记闷棍——别再把合规当作销售材料了，它本来应该是企业活下去的基本功。

当创业公司开始为“看不见的基础设施”买单

很多普通用户可能感受不到这类事件的冲击，因为它不像聊天机器人说错一句话那样直观，也不像融资新闻那样热闹。但在企业软件世界里，这类基础设施事故会悄悄改变很多决策。客户会更谨慎，投资人会更看重治理能力，创业团队也会重新评估“先做增长还是先补安全”的优先级。

我自己的判断是，接下来一段时间，AI 基础设施公司会进入一个“安全再定价”阶段。那些真正把审计、治理、权限控制做扎实的团队，会变得更有议价权；而依赖漂亮仪表盘和快速拿证故事的公司，日子会难过很多。资本市场也许仍然喜欢讲模型和 agent 的未来，但企业客户在签合同前，看的往往是另一套东西：你出了事以后，能不能扛住。

从这个角度看，LiteLLM 的决定也许来得狼狈，却并不晚。比起继续抱着争议不放，及时重做认证、引入独立审计，至少是在告诉市场：这家公司还知道“安全”两个字不是营销文案，而是生死线。