AI合規新創捏造認證？3億美元估值企業陷入信任危機

一家宣稱能用AI消滅合規繁文縟節的新創公司，如今面對的指控是：它消滅的，可能是合規本身。

事件始末：一篇Substack文章引爆的危機

2026年3月，一篇由匿名舉報人「DeepDelver」發表於Substack的文章，在矽谷創投圈引發連鎖反應。被點名的是Delve——一家由Y Combinator孵化、專注於合規自動化的AI新創公司。

Delve成立於2023年，核心主張是透過AI自動化取得SOC 2（資訊安全）、HIPAA（醫療隱私）、GDPR（歐盟資料保護）等監管認證的繁瑣流程。去年完成A輪融資時，估值高達3億美元，投資方Insight Partners單筆投入3,200萬美元，並公開發表了題為「擴展AI原生合規：Delve如何為企業節省時間與成本」的投資論文。

其客戶名單包含Microsoft、Chase、PayPal、American Express，以及AI搜尋公司Perplexity，官網聲稱協助這些企業節省了「數百小時」的合規工作。

然而，自稱前客戶的DeepDelver提出了截然不同的描述：Delve「偽造了從未發生過的董事會議、測試和流程的證據」，並迫使客戶「在採用假證據，或接受幾乎沒有真實自動化的手動作業之間做出選擇」。舉報人還指出，該平台的報告由自身系統蓋章認可，並未經過獨立第三方的二次審計。

公司反駁，但行動說明了一切

Delve對上述指控提出了反駁。公司聲明稱，自己並非發行合規報告的機構，而是一個「自動化平台」——它整合合規相關資訊，再提供給客戶自行選擇的獨立認證審計機構使用。至於被指控提供「假證據」，公司的解釋是：所謂的「模板」不過是協助團隊按合規要求記錄流程的工具，「其他合規平台也是這樣做的」。

話雖如此，公司的實際行動卻傳遞了截然不同的訊號。舉報文章發表後不久，Delve官網的「預約演示」功能悄然下線。Insight Partners也將那篇投資論文從官網移除——儘管原文已被網際網路存檔服務Wayback Machine完整保存。

Delve共同創辦人Karun Kaushik與Selin Kocalar，以及Insight Partners，均未回應媒體的置評請求。

廣告

廣告合作

[email protected]

廣告

為什麼這件事不只是一家公司的問題

這場風波的核心，觸及了一個更根本的問題：當AI能夠「生成」合規證據時，合規認證制度本身還有多少公信力？

SOC 2、HIPAA等認證存在的意義，是讓企業向客戶、合作夥伴和監管機構證明「我們的資料管理是可信的」。這套制度的前提，是認證過程的真實性與獨立性。如果自動化工具能夠生成從未發生的會議記錄和測試報告，那麼認證標章所代表的，究竟是真實的安全實踐，還是一份精心生成的文件？

對於台灣、香港及東南亞的科技企業而言，這個問題尤為切身。許多企業在拓展海外市場、爭取歐美企業合作時，SOC 2或ISO 27001認證往往是敲門磚。若這些認證的可信度遭到質疑，整個合規科技（RegTech）產業的商業邏輯都將受到衝擊。

各方立場的角力

投資方的兩難：Insight Partners選擇下架投資論文，是一個耐人尋味的舉動。在指控尚未被證實的情況下，主動切割意味著什麼？這究竟是審慎的風險管理，還是默認了指控的部分可信度？創投業者在盡職調查階段，對於AI新創的技術聲明究竟能核實到什麼程度，這次事件讓外界打了一個大問號。

客戶企業的風險：Microsoft、PayPal等企業的名字出現在Delve的客戶列表上，但目前尚不清楚它們是否仍在使用該平台。若確認曾使用偽造證據通過合規審查，這些企業本身也將面臨法律與聲譽的雙重風險。

監管機構的挑戰：SOC 2的認證機構AICPA，以及各國資料保護主管機關，如何應對AI輔助的證據生成，目前幾乎沒有明確的規範框架。這場事件或許將加速相關監管討論。

競爭對手的機遇與隱憂：同類型的合規自動化平台如Vanta、Drata，短期內或許能以「我們保持獨立審計」為由搶占市場，但整個產業的信任基礎若動搖，所有玩家都難以獨善其身。

合規科技在亞洲的獨特脈絡

值得注意的是，亞洲市場對合規科技的需求正在快速成長，但監管環境與文化背景與歐美存在顯著差異。

中國大陸有自己的資料安全法規體系（《數據安全法》、《個人信息保護法》），對境外合規工具的採用存在天然限制。相比之下，台灣、新加坡、香港的企業在對接國際客戶時，對SOC 2等國際認證的依賴度更高，因此對這次事件的敏感度也更強。

此外，在亞洲的商業文化中，「關係」與「信任」往往比文件認證更具決定性。Delve事件在某種程度上印證了一個古老的商業邏輯：紙面上的認證，永遠替代不了真實的信任建立。