Стартап Context AI, специализирующийся на обучении агентов искусственного интеллекта, оказался в центре масштабного инцидента безопасности, затронувшего инфраструктуру популярной хостинговой платформы Vercel. Как подтвердило издание TechCrunch, именно проблемная комплаенс — компания Delve ранее проводила сертификацию безопасности для Context AI. Представители Context AI официально признали факт сотрудничества с Delve в прошлом, однако заявили о полном отказе от их услуг после мартовских публикаций в СМИ. В настоящий момент стартап находится в процессе повторной сертификации, для чего была привлечена независимая аудиторская фирма Insight Assurance, а сама программа комплаенса переведена на платформу Vanta.
Технические детали инцидента демонстрируют классическую цепочку компрометации через стороннее программное обеспечение и невнимательность пользователей. Взлом внутренних систем Vercel произошел после того, как один из сотрудников компании загрузил приложение, разработанное командой Context AI, и опрометчиво подключил его к своему корпоративному аккаунту в экосистеме Google. Злоумышленники воспользовались полученным доступом к учетной записи сотрудника, что позволило им проникнуть в закрытую инфраструктуру Vercel и получить доступ к некоторой части клиентских данных. Изначально связь между Context AI и Delve в контексте этой атаки была публично раскрыта Гергели Оросом, автором инженерной рассылки The Pragmatic Engineer, а затем подтверждена самими участниками инцидента.
Текущий скандал является лишь очередным эпизодом в череде проблем, преследующих стартап Delve на протяжении последнего месяца. Кризис начался после того, как анонимный информатор публично обвинил компанию в фальсификации клиентских данных и использовании так называемых «конвейерных» аудиторов в процессах проверки соответствия и сертификации. Хотя руководство Delve категорически отвергло эти обвинения, репутация компании серьезно пострадала, что привело к тому, что престижный акселератор Y Combinator, выпускником которого является стартап, принял решение разорвать с ним все отношения. Ситуацию усугубили дополнительные обвинения в присвоении чужого инструмента с открытым исходным кодом без надлежащего указания авторских прав и лицензий.
Наличие сертификата безопасности само по себе не является гарантией защиты от взломов, поскольку такие документы лишь подтверждают наличие политик по снижению рисков, однако клиенты Delve сталкиваются с реальными атаками пугающе часто. Вскоре после первых разоблачений хакеры атаковали стартап LiteLLM, внедрив вредоносное программное обеспечение в его открытый исходный код, после чего проект также отказался от услуг Delve. Другой бывший клиент, платформа для написания кода Lovable, прекратил сотрудничество с Delve еще в конце 2025 года, но недавно признал факт собственной утечки данных.
На фоне стремительного оттока клиентов и потери доверия индустрии вокруг комплаенс — стартапа продолжают появляться новые спорные подробности. Анонимный разоблачитель, выступающий под псевдонимом DeepDelver, опубликовал свежее заявление, в котором утверждает, что Delve отказывает своим клиентам в возврате денежных средств. При этом, согласно предоставленным журналистам документам, с 15 по 19 апреля компания организовала выездное корпоративное мероприятие на Гавайях для своей команды, состоящей из более чем 20 человек. Издание TechCrunch подтвердило подлинность финансовых чеков, косвенно доказывающих факт поездки, однако не смогло верифицировать остальные заявления информатора, тогда как представители Delve от каких-либо комментариев после публикации отказались.
Источники
Ответы (0)
Пока нет ответов в этой теме.
