AI Navigate
インサイト最新記事AI大全カオスマップ

問題を抱えるスタートアップDelveの別の顧客が大規模なセキュリティ侵害を受けた

TechCrunch / 2026/4/23

📰 ニュースDeveloper Stack & InfrastructureSignals & Early TrendsIndustry & Market Moves
原文を読む →
共有:

要点

  • TechCrunchによると、コンプライアンス・スタートアップのDelveは、後にセキュリティ侵害を開示し、そのことがホスティング事業者Vercelでのデータ侵害につながったContext AIに対してセキュリティ認証を実施した。
  • Context AIからVercelへの侵害は、セキュリティやコンプライアンスの認証に関する関係が、下流の顧客が侵害されると、すぐに重大なリスク要因になり得ることを浮き彫りにしている。
  • Delveの顧客基盤は縮小しているようで、別の侵害影響を受けた顧客(Lovable)はDelveをもはや利用していないと報じられている。
  • この記事では、この新たな展開を、Delveに対する過去の告発と関連づけている。具体的には、偽のコンプライアンス証拠、形だけの監査(ゴム印のような監査人)、オープンソース・ツールの不適切な再利用、Y Combinatorからの切り離しに関する主張などが含まれる。
  • 最新の開示は、AI関連企業およびそのエコシステムに対して、セキュリティ認証がどのように発行され、どのように監視されるべきかについて、より強い検証と説明責任を求める圧力を高めている。

苦境に立たされたコンプライアンス系スタートアップのDelveの物語は、ひねりと転換が続きます。

TechCrunchは、DelveがContext AIのセキュリティ認証を実施したコンプライアンス企業だったことを確認しました。Context AIはAIエージェントの訓練を行うスタートアップで、先週、セキュリティインシデントを開示していました。これが人気のアプリ/Webサイトホスティング大手Vercelでのデータ侵害につながったのです。

一方で、自身もセキュリティインシデントがあったLovableは、もはやDelveの顧客ではありません。

まとめると、先月Delveは非難を浴びました。匿名の内部告発者が、スタートアップが顧客データを偽装していたこと、そしてコンプライアンスと認証のプロセスで根回し済みの監査人(お墨付きを出すだけの監査人)を使っていたことが疑われたためです。Delveはこれらの主張を否定しています。 

そのすぐ後、ハッカーがDelveのセキュリティ認証の顧客の1社であるLiteLLMを攻撃し、オープンソースのコードにマルウェアを仕込みました。インシデント後、LiteLLMはTechCrunchに対しDelveを切り捨て、再認証を受けるつもりだと伝えました。

Delveはまた、オープンソースのツールを持ち込み、適切なライセンスの帰属表示なしに自分たちの仕事のように見せかけたとして告発されました。スタートアップの評判は不安定になり、Delveが卒業したY Combinatorが関係を断つに至りました。

話は先週末へと進みます。Vercelは、ハッカーが同社の社内システムに侵入して一部の顧客データにアクセスしたと発表しました。Vercelによれば、ハッカーは、Context AIが作ったアプリを従業員がダウンロードし、そのアプリをGoogleでホストされているVercelの企業アカウントに接続したことをきっかけに侵入されたとのことです。ハッカーは、その従業員のGoogleアカウントへのアクセス権を悪用して、Vercelの社内システムの一部に侵入しました。

Context AIがVercelへの攻撃の件で名指しされた後、工学系ニュースレター『The Pragmatic Engineer』の著者Gergely Oroszは、Xへの投稿の中で、DelveがContext AIのセキュリティ認証を扱った企業だと述べました。

Context AIは現在、TechCrunchに対してDelveを使用したことを認めていますが、その後そのスタートアップとは手を切っており、再認証を受ける手続き中だとしています。 

「はい、Contextは以前Delveの顧客でした」と、Context AIのスポークスパーソンはTechCrunchに伝えました。「3月にDelveをめぐる報道が出た後、当社はコンプライアンス・プログラムをVantaに移行し、新たな検証を行うために独立した監査法人であるInsight Assuranceと契約しました。再検証の一環として、当社は公開資料の更新を開始しており、完了次第、新たな認証(アテステーション)を共有します」とスポークスパーソンは付け加えました。 

セキュリティ認証それ自体は、セキュリティ問題を止めるものではありません。認証は、企業に攻撃を妨げ顧客データが侵害される可能性を下げるための方針とプロセスが用意されていることを確認することを目的としています。 

その好例がLovableです。LovableはDelveの顧客でしたが、内部告発者の主張が明らかになった後、コード作成(バイブコーディング)プラットフォームは、2025年後半にその時点でDelveを切ったと述べました。同社によれば、同社はすでに1つのセキュリティ認証を再取得し、他の認証についても作り直しの手続き中だということです。 

それでもなお、Lovableは月曜日に、顧客のチャットデータへのアクセス権を誤って公開してしまっていたことを認めました。同社はまた、問題を何か月も前に同社に知らせていた脆弱性レポートを却下していたとも述べています。Lovableは最初、データ侵害はなかったと否定していたことについて謝罪したものの、ハッキングではなく構成ミスが原因だと説明しています。

Delveをめぐる、さらに奇妙なニュースも渦巻いています。匿名の内部告発者であるDeepDelverは、別の投稿を公開し、Delveが顧客に対する返金を拒否していたと主張する一方で、4月15日から4月19日の間にハワイで20人超のチームをオフサイト会議に連れて行っていたということを述べています。  

内部告発者は、ハワイへの渡航疑惑に説得力を与える証拠の一部をTechCrunchに共有しましたが、TechCrunchは他の主張を確認できませんでした。

Delveはコメントと確認のための依頼に応じず、同社のメディアリレーションズ向けのメールも跳ね返ってきました。

関連おすすめサービス

※当サイトはアフィリエイト広告を利用しています
🎧

Notta搭載AI議事録イヤホン ZENCHORD1

AI時代の仕事術。Notta搭載で会議の議事録を自動生成するスマートイヤホン。

🎙️

AI搭載ボイスレコーダー Plaud

世界100万人が愛用。AIで文字起こし・要約を自動化するボイスレコーダー。

🖼️

画像高画質化AIツール Aiarty Image Enhancer

AIで画像を高画質化。写真・イラストを簡単にアップスケール。