卖“合规”的公司,先把自己做成了不合规样本:YC 创业公司 Delve 再陷开源争议

安全 2026年4月2日
卖“合规”的公司,先把自己做成了不合规样本:YC 创业公司 Delve 再陷开源争议
陷入“假合规”风波的 YC 创业公司 Delve,又被爆出疑似将客户 Sim.ai 的开源工具改头换面后当成自家产品售卖。最讽刺的地方在于,这家公司主打的正是合规服务——当一家卖规则的公司自己踩了规则,伤害的就不只是名声,而是整个 AI 创业圈最脆弱的信任。

如果一家创业公司卖的是“合规”,结果自己却被指控不合规,这事的戏剧性几乎不用记者加工,现实已经够黑色幽默了。

美国创业公司 Delve 最近就站在这样一个尴尬的位置上。它原本是一家主打安全与合规流程自动化的公司,还是 YC 校友,拿过 Insight Partners 领投的 3200 万美元融资。按硅谷叙事模板,这本来是那种“替 AI 时代企业解决复杂合规问题”的标准明星故事。可这几天,这个故事越来越像一场创业版的信任坍塌现场。

最新一轮争议来自匿名爆料人“DeepDelver”。按照 TechCrunch 披露的信息,Delve 被指控把 Sim.ai 的开源产品 SimStudio 进行修改后,包装成自己的无代码工具“Pathways”对外推销,而且没有按照 Apache 开源许可证要求进行归属说明,也没有和原开发方达成授权或商业协议。如果这些指控最终被证实,那这不是单纯的“产品长得有点像”,而是一次相当典型、也相当致命的开源合规事故。

从“假合规”到“开源挪用”,Delve 的麻烦在升级

Delve 的舆论危机并不是今天才开始。就在前几天,DeepDelver 已经抛出过更早的一波爆料,称 Delve 存在伪造客户数据、依赖“盖章式审计”等问题。Delve 对这些指控予以否认,但否认并没有带来止血效果。现在,新指控又补上了一刀:你不仅可能在合规材料上有问题,连自己卖出去的工具都可能不是完全“自己做的”。

这一次的爆料之所以格外刺眼,是因为它具备了硅谷最怕的几个关键词:开源、客户、YC 校友、许可证。

根据报道,事情的线索来自 Delve 向潜在客户演示一款叫 Pathways 的无代码工具。后来,这位潜在客户正是匿名爆料人 DeepDelver。对方发现,这个工具看起来和 Sim.ai 开源的 AI agent 构建产品 SimStudio 非常相似,于是直接询问 Delve:这是不是基于 SimStudio 开发的?爆料人的说法是,Delve 回答称这是自己做的。随后,DeepDelver 放出所谓证据,指向 Pathways 实际上是 SimStudio 的一个 fork,也就是在原项目基础上改出来的版本。

在开源世界里,fork 本身并不丢人,很多成功产品都从 fork 开始。真正的问题是:你有没有遵守许可证。

Apache 许可证的核心精神并不复杂:你可以用、可以改、可以商用,但需要保留版权和许可声明,不能把原作者“做掉”,更不能让外界误以为这是你从零写出来的。如果 Delve 真的把别人的开源项目稍作修改后当成自研产品销售,那麻烦就不只是公关层面的“观感不好”,而是实打实的法律与商业信用风险。

更难堪的是:被“借用”的,还是自己的客户

这件事最让人皱眉的,还不是开源代码被疑似挪用,而是被指控“借来做产品”的对象,居然还是 Delve 的客户 Sim.ai。

Sim.ai 创始人兼 CEO Emir Karabeg 对 TechCrunch 表示,他确实和爆料人交流过此事,而且 Delve 与 Sim.ai 之间并不存在相关授权协议。他回忆自己当时的认知是,Delve 知道要用 Sim.ai 的东西做点什么,他们也曾试图出售一份协议,但没有成功;他没想到 Delve 可能会把它直接包装成一个可独立销售的解决方案。

这层关系让整个事件的质感更加微妙。两家公司都出自 Y Combinator,而 YC 校友之间互买产品、互相引荐,本来是硅谷创业生态里最常见、也最被鼓励的合作模式。换句话说,Sim.ai 付钱给 Delve,成为 Delve 的客户;但如果指控成立,Delve 却没有为使用 Sim.ai 的技术支付对价,也没有完成最基本的署名义务。这个故事里最受伤的,恐怕不仅是开源规则,还有创业圈最常挂在嘴边的那句“community”。

Karabeg 还提到,在第一轮爆料出现后,他原本还在安慰 Delve 的朋友们。但当自己公司的产品也被卷入后,双方就没有再联系了。这句话很短,却很有分量。它说明这已经不是普通的商业摩擦,而是关系层面的信任断裂。

为什么这件事在 2026 年格外敏感

如果把时间拨回十年前,开源许可证争议还常常被当成“工程师社区的内部话题”。但到了今天,尤其是在 AI 创业热潮里,开源合规已经变成资本市场、客户采购和企业法务共同关注的硬指标。

原因很现实。过去一年多,AI 创业公司大量基于开源模型、开源框架、开源 agent 工具搭产品。这个生态的繁荣,某种意义上建立在“允许你站在别人肩膀上,但别假装那双肩膀是你自己长出来的”这一默契之上。谁都知道复用开源不是罪过,隐瞒来源、绕过许可证、误导客户,才是问题。

Delve 的案例之所以引发如此强烈反弹,就在于它踩中了一个行业神经:AI 创业越来越容易“拼装化”,但拼装不等于可以偷换概念。今天很多公司对外讲的是“我们做了一个平台”,实际上底层可能接了五六个开源组件、两三个第三方服务,再加一层漂亮的 UI 和销售话术。这样的产品并非没有价值,真正的价值可能就在集成、体验、流程、交付和服务。但前提是你得诚实。你可以说自己是搭建者、整合者、产品化者,不能把别人的砖拿来砌墙后,再说矿也是你开的。

这也是为什么这件事对投资机构同样刺耳。报道提到,相关争议可能发生在 Delve 的 A 轮融资之前;而领投方 Insight Partners 此前关于投资 Delve 的博客内容一度从官网消失,LinkedIn 上的投资帖文也尚未恢复。虽然这不等于投资方默认指控成立,但至少说明,资本在面对这种声誉风险时,反应非常诚实:先撤下再说。

说到底,AI 创业的尽调难度正在上升。看增长、看收入、看客户名单已经不够了,连“产品到底是不是自己做的”“合规流程是不是实打实存在”都得重新核查。未来投资人可能不只要做财务尽调,还得做代码来源尽调、许可证尽调、审计流程尽调。听起来有点夸张,但 Delve 这样的案例正在逼着行业往这个方向走。

开源不是原罪,伪装才是

这里也有一个容易被情绪带偏的点:开源使用本身不应被污名化。

匿名爆料人把这件事称作“偷知识产权”,这个说法情绪上可以理解,但法律上没那么简单。开源软件本来就是允许他人使用和修改的,Apache 许可证甚至对商业使用相当宽松。所以问题不在于“用了开源”,而在于是否遵守了署名、声明、授权边界这些规则。换句话说,开源世界不是“不许拿”,而是“你拿可以,但别不认账”。

这也是很多 AI 创业公司接下来必须面对的一堂公开课。今天不少团队默认“只要代码在 GitHub 上,我就能先拿来做 demo,之后再说”。可一旦 demo 变产品、产品变销售材料、销售材料再变融资故事,许可证就不再是一个可以留给法务最后补的细节,而是产品合法性的一部分。

更深一层看,Delve 事件还提出了一个挺刺痛的问题:在当下这轮 AI 创业浪潮里,我们是不是太奖励“会讲故事的人”,而对“故事底下的工程和流程真相”检查得太少了?

硅谷一直崇尚速度,YC 文化更是把“先做出来、先卖出去、再快速迭代”奉为信条。这个方法在很多时候有效,甚至是创业成功的必要条件。但涉及安全、合规、审计、企业信任的业务,速度和可信度之间本来就存在天然张力。一个卖企业级信任的公司,如果内部也奉行“先糊上去再说”,那它迟早会撞墙。因为这类业务卖的不是页面和功能,而是别人敢不敢把风险托付给你。

从这个角度看,Delve 的风波可能不只是个别公司的翻车,而是一面镜子。它照出了 AI 基础设施赛道里一种越来越常见的危险倾向:把“包装能力”误当成“产品能力”,把“销售势能”误当成“组织可信度”。在市场火热的时候,这两者看起来差不多;但一旦有人开始翻代码、翻合同、翻审计记录,它们立刻就不是一回事了。

目前,Delve 没有回应 TechCrunch 的置评请求,其官网媒体联系邮箱据称也已失效。与此同时,Delve 网站上与 Pathways 相关的页面以及其他一些内容似乎被删除。X 上关于此事的讨论已经迅速升温,甚至冲上了趋势榜。这种时候,沉默通常不是一个好信号。

对 Delve 来说,接下来最关键的不是一句“我们高度重视”,而是拿出可验证的解释:Pathways 到底是不是基于 SimStudio?如果是,许可证履行情况如何?为什么没有清晰披露?如果不是,能否公开关键证据自证?在今天这个阶段,创业公司最怕的不是犯错,而是外界认为你在用模糊、删帖和失联来处理错误。

而对整个行业来说,这场风波的真正提醒是:AI 创业确实可以建立在开源之上,但不能建立在失忆之上。谁写的代码、谁承担的审计责任、谁真的做了产品,这些问题看起来很“基础”,却决定了一家公司最终是技术品牌,还是一次融资幻觉。

当“合规”成了营销标签,谁来审计审计者

过去两年,随着 AI 公司疯狂冲向企业市场,“合规”成了最热的销售词之一。SOC 2、ISO 27001、GDPR、HIPAA……这些缩写开始像装饰勋章一样挂在官网首页,仿佛只要拼得够齐全,客户就会放心把数据、工作流和预算交出来。

但 Delve 事件让人重新意识到,合规行业本身也需要被审视。所谓合规自动化平台,到底是在帮助企业更高效地完成复杂流程,还是在把本应严肃的审计工作压缩成一套看起来完整的模板与表单?如果一家公司的业务价值建立在“替别人证明安全可信”上,那么它自己的工程来源、流程真实性和许可证履约情况,就不该成为盲区。

这也是我觉得这起事件真正重要的地方。它不是单纯的创业八卦,更像一次行业压力测试:当 AI 创业从“做点酷东西”进入“卖给严肃客户”的阶段,市场终究会要求你证明,自己不仅会写 pitch deck,也真的配得上那些写在首页上的承诺。创业公司当然可以犯错,甚至大公司也经常在开源问题上翻车;可如果你的核心卖点恰恰是帮助别人守规则,那你自己就得比别人更经得起检查。否则,客户买到的不是合规服务,而是一次更昂贵的风险外包。

Summary: 我对 Delve 的判断是:这场危机已经不只是“公关能不能扛过去”的问题,而是公司基本信用是否还能被修复的问题。若 Delve 迟迟拿不出清晰证据和完整解释,它在企业客户、投资人和开发者社区里的信任账户会继续缩水。更长远地看,这件事很可能促使 AI 创业圈把“开源合规”和“合规服务商自证合规”推到更前面——下一轮市场不会只问你长得多快,还会问你到底是不是站得住。
合规开源许可证Delve开源争议Apache LicenseSim.aiSimStudioPathwaysYC信任危机