YCがDelveを切り捨てた――AI時代の「信頼」が崩壊するとき
評価額480億円のコンプライアンスAIスタートアップが、その存在意義そのものを問われている。コンプライアンスを売る会社が、自らコンプライアンスを守れなかったとき、何が残るのか。
(告発者の分析による)
Y Combinatorが下した「前例のない決断」
Y Combinator(YC)が、ポートフォリオ企業との関係を公に断ち切ることは極めてまれだ。4000社以上を輩出してきたシリコンバレー最大のアクセラレーターが、AIコンプライアンススタートアップDelveのプロフィールをディレクトリから完全に削除した。
COOのセリン・コジャラルは4月4日、Xに短い声明を投稿した。
https://x.com/kocalars/status/2040262537166618887
「MITでYCの面接を受けた日のことを今でも覚えている」という言葉からは、感謝と喪失が入り混じった温度が伝わる。だが、YC側の温度はもっと低い。ガリー・タンCEOは声明で「コミュニティの創業者たちは互いを信頼しなければならない。その信頼が崩れたとき、やるべきことは一つしかない」と述べた。
信頼を商品にしている企業から、信頼を引き剥がす。これ以上のメッセージはないだろう。
「コンプライアンスの自動化」が意味していたもの
Delveは2023年にカルン・カウシクとセリン・コジャラルが設立した。2人ともMIT中退。SOC 2、ISO 27001、HIPAA、GDPRといったセキュリティ認証の取得プロセスをAIエージェントで自動化するという触れ込みで、2025年7月にはInsight Partners主導で3200万ドル(約51億円)のシリーズAを調達。評価額は3億ドル(約480億円)に達した。
通常数週間から数ヶ月かかるコンプライアンス認証を「数日」で終わらせる。それがDelveの売り文句だった。Forbes「30 Under 30」のAI部門にも選出された。
1700社以上の顧客を抱え、a16zの「スタートアップが利用するAIアプリTOP 50」で11位にランクインするまでに成長していた。だが、その急成長の裏側に何があったのか。答えは3月18日、匿名のSubstackアカウントから届いた。
内部告発が暴いた「ハリボテ監査」の構造
「DeepDelver」を名乗る匿名の告発者が公開した調査は、Hacker Newsで800ポイント超を記録し、瞬く間に拡散した。主要な指摘はこうだ。
告発者の分析によれば、Delveが顧客に提供していたSOC 2監査レポート494件のうち493件が99.8%同一内容だったという。同じ文章、同じ文法ミス、同じセキュリティ評価。企業名だけが差し替えられた「テンプレート監査」が数百社にばらまかれていた計算になる。
つまり、それぞれの企業のセキュリティ体制を実際に検証したのではなく、同じ「合格通知」をコピーペーストしていた疑いが持ち上がった。HIPAAやGDPRの認証を信じて事業を展開していた企業にとって、これは法的リスクに直結する問題だ。
告発の核心は「コンプライアンスの外見だけを作り出し、実態のない認証を販売していた」という点にある。もし事実なら、Delveの顧客はHIPAA違反の刑事責任やGDPR違反で売上高の最大4%の制裁金を負う可能性がある。
さらに3月末には、Delve社内の従業員からも内部告発が寄せられた。流出したとされる社内Slackのやり取りや録画映像は、疑惑をさらに深める内容だった。
同門のYC企業からコードを「借用」した疑惑
監査偽装だけでは終わらなかった。DeepDelverの第2弾レポートでは、Delveが同じYC出身のスタートアップSim.aiのオープンソースツール「SimStudio」のコードを流用し、「Pathways」という名前で自社製品として販売していた疑惑が浮上した。
Apache 2.0ライセンスで公開されていたコードを利用すること自体は合法だが、帰属表示を削除し、独自開発だと顧客に説明していたとされる。しかもSim.aiはDelveのコンプライアンス顧客でもあった。相手の製品を利用しながら、そのコードを無断で転売していたという構図だ。
コンプライアンスを売る会社がライセンス違反を犯していたとすれば、皮肉を通り越して寓話のような話になる。
創業者の反論と「速すぎた成長」の告白
CEOのカルン・カウシクは4月4日、動画声明をXに投稿して反論した。
https://x.com/karunkaushik_/status/2040251815321899171
2人の独立したサイバーセキュリティ専門家に調査を依頼した結果、これは内部告発ではなく「悪意ある攻撃者」によるものだと主張。告発者がDelveを偽りの前提で購入し、内部データを抜き出して「組織的な中傷キャンペーン」を行ったと述べた。
だが同時に「成長が速すぎて、自分たちの基準に届かなかった」とも認め、顧客への謝罪を口にした。この矛盾が、かえって疑念を強めている。全面否定と反省の間で揺れる姿勢そのものが、問題の根深さを示している。
Delveは対応策として、基準を満たさない監査法人の排除、既存顧客への無償再監査とペネトレーションテストの提供、テンプレートの位置づけの明確化を発表した。だが、YCはこの弁明に動かされなかった。
AI×コンプライアンス市場が抱える構造的矛盾
この問題はDelve1社の話にとどまらない。Grand View Researchによれば、AIコンプライアンス市場は2025年時点で286億ドル(約4兆5600億円)規模に達しており、急拡大が見込まれている。Vanta、Drata、Secureframeといった競合も、自動化と厳密な検証のバランスについて常に問われてきた。
コンプライアンスという商品の本質は「信頼」だ。企業がセキュリティ基準を満たしていることを第三者に保証する——その保証の生成プロセスをAIで自動化すると、効率化と形骸化の境界線はどこに引かれるのか。
「テンプレートは出発点に過ぎない」とDelveは主張する。だが、493件が同一だったという数字は、出発点から一歩も進んでいなかったことを物語る。自動化の名の下に、検証というプロセスの核心がスキップされていたとすれば、それは効率化ではなく省略だ。
Insight Partnersも一時的に投資に関するブログ記事を削除するなど、距離を置く動きを見せた(後に記事は復元)。投資家がブログ記事を消すとき、それはプレスリリースより正直だ。
信頼の再建は可能か
Delveはまだ事業を続けている。だがYCの「お墨付き」を失い、主要投資家も動揺するなか、1700社の顧客がどこまで残るかは未知数だ。
この事件の全容はまだ見えていない。告発者の動機が純粋な正義感なのか、別の意図があるのかも確定していない。Delveの反論にも検証すべき部分はある。だが、「494件中493件が同一」という数字の重みは、どんな弁明でも軽くはならない。
AIが信頼を「自動生成」できるという前提そのものが、今、試されている。
関連記事
- Claude Codeソース流出が招いた罠:偽リポジトリがマルウェアを配布
- イランのサイバー部隊がStrykerを壊滅させた手口と、FBIが学んだ教訓
- Claude Code流出で露になった「眠るAI」の全貌
- Claude Codeのソースコード全文が流出、npmの設定ミスで51万行が丸見えに
- AIのバグ報告がゴミから本物へ——Linuxカーネル管理者が語る「謎の転換点」
- 悪意あるUSBを検出するLinuxカーネルドライバが登場
- Axiosを侵した「偽の会議」――北朝鮮ハッカーの手口
- Claudeサブスク、サードパーティ切り離しへ──OpenClaw問題の最終章
- Reddit最大のプログラミング板がLLM話題を全面禁止
- Gemma 4 登場——自前ハードで動くオープンモデルが、ここまで来た
