Cliente da startup Delve sofre grave incidente de segurança após polêmicas envolvendo certificações
Contexto da crise envolvendo a startup Delve
A startup americana Delve, especializada em certificações de conformidade de segurança, tem enfrentado uma série de problemas que abalaram sua reputação no mercado de tecnologia. Recentemente, a empresa foi apontada por um denunciante anônimo por supostamente falsificar dados de clientes e utilizar auditores pouco rigorosos em seus processos de certificação.
Além disso, Delve foi acusada de apropriar-se indevidamente de uma ferramenta open source, sem a devida atribuição de licença, o que agravou ainda mais seu cenário negativo. Como consequência, a aceleradora Y Combinator, onde a startup foi graduada, decidiu romper vínculos com a empresa.
Incidentes de segurança vinculados a clientes da Delve
O impacto das falhas de Delve se refletiu diretamente em seus clientes. Em março, a LiteLLM, uma empresa certificada por Delve, sofreu um ataque hacker que introduziu malware em seu código aberto. Após o incidente, LiteLLM anunciou a ruptura com Delve e iniciou um novo processo de certificação.
Mais recentemente, foi revelado que a Context AI, startup focada em treinamento de agentes de IA, também utilizava os serviços de certificação da Delve. Na semana passada, Context AI divulgou um incidente de segurança que resultou em uma violação de dados na Vercel, gigante do mercado de hospedagem de sites e aplicativos.
O ataque ocorreu após um funcionário da Vercel baixar um aplicativo da Context AI e conectá-lo à conta corporativa da empresa no Google. Os invasores exploraram esse acesso para comprometer sistemas internos da Vercel e obter dados de clientes.
Após a divulgação do incidente, Context AI confirmou a utilização anterior dos serviços da Delve, mas já migrou seu programa de compliance para a Vanta e contratou a empresa Insight Assurance para realizar novas auditorias independentes.
Outros clientes e consequências práticas
Outra empresa que já foi cliente da Delve, a plataforma de codificação Lovable, também enfrentou problemas de segurança. Após abandonar a Delve no final de 2025, Lovable revalidou suas certificações de segurança. Mesmo assim, admitiu ter compartilhado inadvertidamente dados de chats de clientes publicamente devido a uma falha de configuração, descartando inicialmente a hipótese de ataque.
Esses casos ilustram que certificações de segurança, embora importantes, não garantem a ausência de vulnerabilidades. Elas servem para confirmar que políticas e processos adequados estão em vigor para mitigar riscos.
Novas denúncias e falta de transparência da Delve
Além dos problemas técnicos e de compliance, surgiram denúncias sobre a gestão da Delve. O denunciante anônimo DeepDelver publicou um relato afirmando que, apesar de negar reembolsos a clientes insatisfeitos, a startup teria realizado uma reunião com sua equipe de mais de 20 pessoas em um local de luxo no Havaí entre 15 e 19 de abril de 2026.
Receipts compartilhados com a imprensa reforçam a veracidade da viagem, mas outras alegações do denunciante não foram confirmadas. Tentativas de contato com a Delve não obtiveram resposta, e e-mails enviados para sua assessoria de imprensa retornaram como inválidos.
Implicações para o mercado de startups de IA
O caso Delve evidencia os riscos que startups de tecnologia enfrentam ao confiar em certificações de segurança questionáveis. Em um setor cada vez mais regulado e sob escrutínio público, a credibilidade nas práticas de compliance é fundamental para a confiança dos clientes e investidores.
Empresas que dependem de processos robustos de segurança precisam revisar seus parceiros e garantir auditorias independentes e transparentes para evitar danos reputacionais e financeiros.