在 2026 年的今天,當許多公司加速擁抱 AI 與自動化技術時,資安防線卻正面臨前所未有的考驗。近期,全球資安圈與科技界接連發生不少事件,首先是曾被譽為矽谷明日之星的 AI 合規新創 Delve(社群與傳聞中常被誤拼為 Dalve)爆發了系統性的資安合規造假醜聞,與此同時,市場上近年也發生一些大量資料外流事件(包含 AI 招募獨角獸 Mercor 的遭駭,以及四大會計事務所之一的安永 EY 發生雲端設定失誤導致資料外流)。
這幾起看似獨立的危機,其實呢,共同都明示暗示現代資安市場的致命盲點,也就是合規劇場(Compliance Theater)的破滅與供應鏈防護的脆弱。CyberQ 就實務資安經驗與海外客戶的合作過往,帶你一起看這些事件的始末。
戳破虛假安全感的 Delve 資安合規造假事件
Delve 是一家成立於 2023 年、曾獲頂級加速器 Y Combinator (YC) 培育的明星新創,近期更以 3 億美元估值募得 3,200 萬美元資金。該公司主打 AI 驅動的自動化合規平台,宣稱能讓企業在短短幾天內,以極低的成本取得 SOC 2、ISO 27001、HIPAA 等嚴格的資安合規認證。
爆料內容與造假手法
然而在 2026 年 3 月,一名化名 DeepDelver 的匿名吹哨者,透過一份因設定失誤而外流的 Google 試算表揭露了驚天黑幕。相關資料與後續的調查顯示,Delve 堪稱一座造假工廠。
該事件揭露,這間公司外洩的 494 份 SOC 2 報告中,有99.8% 的複製貼上,在高達 493 份的內容幾乎完全雷同,甚至連文法錯誤都一模一樣,僅替換了客戶的公司名稱與 Logo。
關於這份 AI 偽造審計證據的調查指出,系統會在客戶實際提交網路架構或安全證據之前,就預先生成了合格的審計結論。AI 甚至被用來自動捏造虛假的董事會會議紀錄、員工培訓紀錄與背景調查。
幽靈審計機構,Delve 標榜使用美國本土的獨立審計師,卻被追蹤到多數是透過海外(如印度)的認證工廠進行流水線式的橡皮圖章背書,嚴重違反審計獨立性原則。
市場後果不堪設想
事件爆發後,Y Combinator 已於 2026 年 4 月初將 Delve 從計畫名單中除名。數百家採用 Delve 認證的科技公司如今陷入合規危機,面臨潛在的 HIPAA 刑事責任與高達全球營收 4% 的 GDPR 鉅額罰款。
近年大量資料外流事件
在紙上防禦合規崩壞的時刻,現實世界的駭客攻擊與人為疏失也正在造成實質損失,近期幾個重大外洩事件都是流出 TB 等級的資料。
1、Mercor AI 遭供應鏈攻擊,4TB 機密放上暗網
2026 年 3 月底至 4 月初,估值高達 100 億美元的 AI 招募平台獨角獸 Mercor 證實遭到嚴重的軟體供應鏈攻擊。
攻擊手法,駭客集團 TeamPCP 竊取了開源 AI 路由工具 LiteLLM 的維護者權限,並在 PyPI 平台上發布了植入惡意後門的版本(1.82.7 與 1.82.8)。由於自動更新機制,Mercor 等數千家企業在短短 40 分鐘的曝光期內便中招。
災難性後果,知名勒索組織 Lapsus$ 隨後宣稱成功從 Mercor 竊取了高達 4TB 的敏感資料。這批資料不僅包含 939GB 的原始碼,更包含了近 3TB 的求職者視訊面試影片與護照等身分證件。事件爆發後,Meta 等科技大廠已無限期暫停與 Mercor 的 AI 訓練合作計畫。
2、安永(EY)雲端設定失誤,4TB 資料庫裸奔
除了駭客高超的供應鏈攻擊,低級的人為錯誤同樣致命。資安研究機構 Neo Security 先前發現,全球四大會計師事務所之一的安永(EY),2025 年 Q4 時在微軟 Azure 雲端平台上意外公開了一個高達 4TB 的 SQL Server 備份檔(.BAK)。
這起事件並非駭客入侵,而是單純的存取控制清單(ACL)設定失誤,導致包含 API 金鑰、登入憑證與商業機密的備份檔,無需密碼即可在網路上被任何人下載。很可惜的是,我們已經認知到,再龐大的資安預算,也敵不過一次錯誤的人為設定或操作。
資安市場走向會如何呢 ?
CyberQ 認為,終結合規劇場,回歸實質驗證應該是近期的重點處理方式,畢竟 SOC 2 報告從來就不是絕對安全的保證。當市場將取得認證的速度凌駕於控制措施的有效性之上時,災難便注定發生。
CyberQ 建議各家公司必須停止盲信一鍵合規的 AI SaaS 工具。這是因為,合規的本質是信任,企業應親自確認第三方審計機構的獨立性與資質,並要求持續性的動態安全驗證。
其次,我們可以看到 AI 開源供應鏈變成破口啦。從 Mercor 的故事可以體會到,即便公司內部防護再嚴密,一個被污染的開源依賴套件(如 LiteLLM)就能引發毀滅性災難。CyberQ 建議各家公司應繼續努力落實嚴謹的軟體物料清單(SBOM)管理,並在 CI/CD 流程中加入自動化的依賴項版本鎖定與持續性漏洞掃描,避免一個更新,或者是專案需要的套件導入,導致後續要處理一堆鳥事的狀態發生。
同時,我們也要針對雲端安全態勢管理(CSPM)進行相關的工作,這是因為從 EY 的洩漏案可以覺察到,傳統的年度資安稽核抓不到日常維運中的設定疏失。CyberQ 建議,雲端環境必須強制實行預設拒絕(Default Deny)原則與靜態資料加密(Encryption at Rest),並全面導入自動化的雲端安全態勢管理(CSPM)工具,24/7 監控任何異常的公開儲存桶權限。
CyberQ 認為,在數位化與 AI 高速發展的當下,資安確實是沒有捷徑的,不要想抄近路。去買一張華麗但造假的合規證書,沒辦法擋住無孔不入的供應鏈攻擊,也救不回因一個設定失誤而外流的商業機密。
只有回歸基本面呢,落實零信任架構、強化持續監控,並秉持誠實透明的企業治理,才能在險惡的網路環境中建立真正的有效防禦。
