Delve, startup compliance binaan Y Combinator, sedang menghadapi krisis serius setelah muncul tuduhan bahwa perusahaan itu memakai alat open-source milik pihak lain lalu menjualnya seolah produk sendiri. Kasus ini semakin besar karena Y Combinator menyatakan Delve diminta keluar dari komunitasnya akibat pelanggaran kepercayaan.
Perusahaan ini dipimpin dua pendiri berdarah India, Karun Kaushik sebagai CEO dan Selin Kocalar sebagai COO. Keduanya membantah seluruh tuduhan, tetapi polemik terus melebar karena menyangkut integritas audit, kepatuhan regulasi, dan dugaan pelanggaran lisensi open-source.
Apa yang dipermasalahkan dalam kasus Delve
Delve dikenal sebagai startup yang menjual layanan otomatisasi kepatuhan keamanan dan regulasi untuk perusahaan. Produk yang ditawarkan mencakup pemenuhan standar seperti SOC 2, HIPAA, dan GDPR, area yang sangat sensitif karena berkaitan dengan audit dan bukti kontrol internal.
Menurut data yang beredar, Delve didirikan pada 2023 oleh Kaushik dan Kocalar yang keluar dari MIT untuk membangun perusahaan itu. Startup ini juga sempat mencuri perhatian investor setelah menghimpun $32 million dalam pendanaan Series A dengan valuasi $300 million.
Masalah mulai memuncak setelah seorang pelapor anonim yang memakai nama DeepDelver mempublikasikan serangkaian tuduhan. Ia mengaku sebagai mantan karyawan klien dan menuduh Delve membuat bukti kepatuhan palsu untuk menunjukkan bahwa klien telah memenuhi standar audit tertentu.
Tuduhan itu mencakup dugaan penyediaan dokumentasi rapat dewan, pengujian, dan proses internal yang disebut tidak pernah benar-benar terjadi. Jika benar, praktik seperti itu akan sangat bermasalah karena inti bisnis compliance justru bertumpu pada keaslian bukti dan independensi pemeriksaan.
Dugaan soal auditor dan konflik peran
DeepDelver juga menuding dua firma yang mengaudit klien Delve, yakni Accorp dan Gradient, hanya berperan sebagai pihak yang membubuhkan persetujuan formal atas laporan yang dihasilkan Delve. Dalam tuduhan tersebut, proses kepatuhan disebut menjadi terbalik karena Delve diduga bertindak sebagai pelaksana sekaligus pihak yang memengaruhi penilaian.
Belum ada putusan hukum yang menetapkan benar atau salahnya klaim itu. Namun, isu tersebut cukup untuk mengguncang kepercayaan karena pasar compliance sangat bergantung pada pemisahan yang jelas antara implementasi dan audit.
Sorotan pada dugaan penggunaan tool open-source
Aspek lain yang paling menyita perhatian adalah tuduhan bahwa Delve mengambil SimStudio, tool open-source dari Sim.ai, lalu mencoba menjualnya sebagai solusi mandiri. DeepDelver menyebut hal itu terjadi setelah Sim.ai menjadi pelanggan Delve.
CEO Sim.ai, Emir Karabag, disebut mengonfirmasi bahwa Delve tidak membayar lisensi untuk penggunaan alat tersebut. Dalam komunikasi yang dikutip whistleblower, Karabag mengatakan, “I didn’t realise they were going to sell it out of the box as a stand-alone solution.”
Pernyataan itu penting karena lisensi open-source seperti Apache 2.0 tetap mengharuskan kepatuhan pada ketentuan tertentu, termasuk atribusi dan syarat distribusi. Jika sebuah perusahaan memodifikasi software open-source, penjualan komersial memang bisa dimungkinkan, tetapi tetap harus sesuai aturan lisensi yang berlaku.
Y Combinator ambil langkah tegas
Y Combinator, salah satu akselerator startup paling berpengaruh di Silicon Valley, lalu mengambil tindakan yang jarang terjadi. Presiden sekaligus CEO YC, Garry Tan, menyampaikan di forum komunitas Bookface bahwa Delve telah diminta keluar.
Tan menulis, “We have asked Delve to leave YC. YC is a community, not just an accelerator.” Ia juga menambahkan, “The founders in our community have to trust each other, and we have to trust them. When that trust breaks down, there’s really only one thing to do.”
Pernyataan tersebut kemudian dikonfirmasi pula oleh pihak Delve. Selin Kocalar menyatakan bahwa perusahaan itu memang tidak lagi menjadi bagian dari YC.
Respons Delve terhadap tuduhan
Karun Kaushik menolak tuduhan whistleblower dan menyebut insiden ini sebagai bagian dari serangan siber terarah. Dalam unggahan di X, ia menyatakan, “The evidence we have points to a targeted cyberattack from a malicious actor, not a ‘whistleblower.’”
Kaushik juga mengatakan Delve telah bekerja dengan firma keamanan independen. Menurutnya, data yang bocor telah dipilih secara selektif, dipelintir, dan diambil di luar konteks untuk merusak perusahaan.
Sementara itu, Selin Kocalar mengatakan Delve sudah membangun ulang jaringan auditornya. Ia juga menyebut perusahaan menawarkan re-audit dan pen test gratis kepada seluruh pelanggan, serta memberikan jalur komunikasi langsung antara klien dan auditor.
Dalam pernyataan blog, Delve menyebut telah memakai tool open-source sesuai pedoman Apache 2.0 dan melakukan pembangunan ulang signifikan untuk kebutuhan compliance. Namun, perusahaan itu tidak secara spesifik menyebut nama Sim.ai dalam penjelasan tersebut.
Mengapa kasus ini penting bagi ekosistem startup
Kasus Delve menyentuh tiga isu besar sekaligus, yaitu kepercayaan investor, etika penggunaan open-source, dan validitas proses audit pada startup AI. Di tengah derasnya pendanaan untuk perusahaan teknologi baru, kontroversi ini menjadi pengingat bahwa pertumbuhan cepat tidak menghapus kebutuhan akan tata kelola yang kuat.
Berikut poin utama yang menjadi perhatian publik dan industri:
- Dugaan pemalsuan bukti kepatuhan.
- Dugaan hubungan auditor yang tidak independen.
- Dugaan pelanggaran lisensi open-source.
- Tindakan tegas Y Combinator atas dasar kepercayaan komunitas.
- Bantahan Delve yang menyebut insiden ini sebagai cyberattack.
Perkembangan berikutnya akan sangat bergantung pada bukti teknis, respons pelanggan, dan kemungkinan pemeriksaan lebih lanjut dari pihak terkait. Untuk saat ini, nama Delve tetap berada di bawah sorotan karena tuduhan tersebut tidak hanya menyasar produknya, tetapi juga fondasi kepercayaan yang menopang bisnis compliance di ekosistem startup global.
Source: www.indiatoday.in-
-
-
-
