这篇文章揭露Delve公司表面上遵守监管规定，实则提供虚假合规服务，本质上是在制造监管漏洞。作者提供了多个文章备份链接，并给出了联系方式以便记者跟进报道。

深度调查：Delve——虚假合规服务（第一部分）

核心指控

文章揭露合规平台Delve通过伪造证据、操控审计流程，制造合规假象。其商业模式包括： - 伪造证据：自动生成董事会会议记录、安全测试等虚假文件 - 审计独立性违规：由印度认证工厂通过美国空壳公司签署审计报告，违反AICPA/ISO规定 - 误导客户：声称使用美国CPA事务所，实际由Delve生成报告后由印度机构盖章 - 产品缺陷：平台缺乏真正的AI自动化，主要依赖预填模板和手动表单

关键发现

1. 审计欺诈

   • 提前生成审计结论和测试程序，违反审计独立性原则
   • 99%客户报告使用相同模板，仅修改公司名称和logo

2. 客户欺骗

   • 信任页面列出的安全措施从未实施
   • 政策文件包含未实际执行的控制措施（如MDM系统）

3. 产品真相

   • 号称100+集成，实际仅14个真实API连接
   • 工作流模块直接复制开源项目SimStudio而未注明来源

4. 监管风险

   • 客户可能面临HIPAA下的刑事责任和GDPR最高4%全球营收的罚款

典型客户体验

• 销售过程强调"10小时完成合规"的虚假承诺
• 平台要求手动截图代替真实安全控制（如用防火墙截图冒充终端管理系统）
• 员工背景调查和培训记录被自动标记为"完成"，实际未执行

数据泄露事件

2025年12月，Delve泄露包含数百家客户审计报告的电子表格，暴露： - 敏感架构图 - 员工签名 - 机密商业信息 CEO Karun Kaushik声称是"AI生成的虚假邮件"，但泄露文件被多次存档验证。

审计机构调查

主要"合作"审计机构实为印度认证工厂： - Accorp：使用纽约虚拟地址，实际由非CPA人员Jayshree Dutta签署报告 - Gradient：注册于怀俄明的空壳公司，董事同时运营多家认证机构 - 收费低至2000美元即可获得SOC2和ISO27001双认证

法律后果

受影响企业包括： - 处理数百万美国公民医疗数据的公司 - 纳斯达克上市公司Duos Edge（代码：DUOT） - 国防相关技术服务商

这些企业可能面临： - 合同违约索赔 - 证券欺诈指控（对上市公司） - 监管处罚（尤其HIPAA和GDPR）

给现有客户的建议

1. 以书面形式要求Delve澄清：

   • 是否预先生成审计结论？
   • 审计师是否实际审查证据？
   • 平台真实集成数量？

2. 重新评估已发布的合规声明

3. 考虑独立第三方合规审查

（完整报告包含更多技术细节和证据截图，可通过存档链接查看）

该评论仅提供了链接跳转信息，指出相关讨论已迁移至首次提交该链接的页面（https://news.ycombinator.com/item?id=47444319）。评论本身未包含实质性观点，也未获得用户评分。

主要特征： 1. 纯技术性操作说明 2. 引用原文："Comments moved to..."（"评论已移至..."） 3. 提供原始链接作为参考依据