Dmitri Korobtsov

Delve, a YC-backed compliance startup that raised $32 million, has been accused of systematically faking SOC 2, ISO 27001, HIPAA, and GDPR compliance reports for hundreds of clients. According to a detailed Substack investigation by DeepDelver, a leaked Google spreadsheet containing links to hundreds of confidential draft audit reports revealed that Delve generates auditor conclusions before any auditor reviews evidence, uses the same template across 99.8% of reports, and relies on Indian certification mills operating through empty US shells instead of the "US-based CPA firms" they advertise. Here's the breakdown: > 493 out of 494 leaked SOC 2 reports allegedly contain identical boilerplate text, including the same grammatical errors and nonsensical sentences, with only a company name, logo, org chart, and signature swapped in > Auditor conclusions and test procedures are reportedly pre-written in draft reports before clients even provide their company description, which would violate AICPA independence rules requiring auditors to independently design tests and form conclusions > All 259 Type II reports claim zero security incidents, zero personnel changes, zero customer terminations, and zero cyber incidents during the observation period, with identical "unable to test" conclusions across every client > Delve's "US-based auditors" are actually Accorp and Gradient, described as Indian certification mills operating through US shell entities. 99%+ of clients reportedly went through one of these two firms over the past 6 months > The platform allegedly publishes fully populated trust pages claiming vulnerability scanning, pentesting, and data recovery simulations before any compliance work has been done > Delve pre-fabricates board meeting minutes, risk assessments, security incident simulations, and employee evidence that clients can adopt with a single click, according to the author > Most "integrations" are just containers for manual screenshots with no actual API connections. The author describes the platform as a "SOC 2 template pack with a thin SaaS wrapper" > When the leak was exposed, CEO Karun Kaushik emailed clients calling the allegations "falsified claims" from an "AI-generated email" and stated no sensitive data was accessed, while the reports themselves contained private signatures and confidential architecture diagrams > Companies relying on these reports could face criminal liability under HIPAA and fines up to 4% of global revenue under GDPR for compliance violations they believed were resolved > When clients threaten to leave, Delve reportedly pairs them with an external vCISO for manual off-platform work, which the author argues proves their own platform can't deliver real compliance > Delve's sales price dropped from $15,000 to $6,000 with ISO 27001 and a penetration test thrown in when a client mentioned considering a competitor

Software staje się towarem masowym. Codziennie czytamy o MVP w stylu Notion czy Calendly, stawianych w 30 minut przy użyciu Claude Code. Sam jestem mocno podjarany tym nowym sposobem budowania produktów cyfrowych. A że zajmuję się tym od 20 lat - postanowiłem spisać kilka przemyśleń i prognoz dotyczących tworzenia oraz dystrybucji software’u. Poprzeczka w budowie dobrych produktów pójdzie do góry. 10 lat temu śmialiśmy się z tego, jak wyglądał software 20 lat temu. Dziś śmiejemy się z tego sprzed 5 lat. Za dwa lata będziemy się śmiać z tego, co dziś robimy. Będzie duży przeskok, ale software przetrwa. SaaS podobnie - może z nowym modelem biznesowym, nie opartym na pay per seat. Ale przetrwa. Odkąd pamiętam, biznes buduje się z obawą o jakiś wszechwładny byt, który wejdzie do mojej branży i skosi wszystkich. Latami był to Google, teraz jest AI. A z moich doświadczeń przedsiębiorcy zawsze znajdą sobie sposób na wykrojenie fajnego kawałka torta od gigantów tego świata. Panika na SaaS napędza wpisy typu „software is dead”, a dla mnie software nigdy nie był bardziej żywy. Jak w każdej branży, w której drastycznie spada próg wejścia - czeka nas masa innowacji. Tak było lata temu z fotografią, muzyką i masą innych segmentów. Nie znam się na giełdzie, ale dużo mocniej wierzę, że Google będzie beneficjentem rewolucji AI niż Costco czy Walmart. Mimo że mnożniki na tych drugich są znacznie wyższe i rynek ocenia to zupełnie odwrotnie do mnie. Więcej narzędzi to większa konkurencja. Większa konkurencja to droższe stawki per click. To zapowiada kolejne wzrosty wpływów Google Ads czy Meta Ads, które zobaczymy w ich wynikach kwartalnych. Rynek SaaS bardzo mocno przesunie się w stronę dużych klientów. Biznesy SaaS celujące w klientów enterprise będą oczywiście radziły sobie najlepiej. Te nastawione na B2C lub SMB będą mieć problemy ze względu na wysyp tanich vibe-SaaSów. Wyjątkami będą te, które mają fosę w postaci wyróżników opisanych powyżej - bezpieczeństwo, zaufanie, dane, które trudno znaleźć lub zgromadzić w necie. Wyróżnikami produktów będzie jeszcze mocniej marka, zaufanie, bezpieczeństwo, certyfikaty, dostęp do danych, których nie ma w łatwo dostępnych API. Fosą wielu SaaS będą wspomniane dane, których nie można znaleźć w sieci. Dane o „zużyciu” ich produktu, które zostaną udostępnione użytkownikom w formie benchmarków. Dlaczego Mailchimp jest jednym z najlepszych narzędzi email marketingu? Bo otworzył swoją bazę danych o wysyłkach wszystkich klientów. Wysyłając newsletter, mogę sprawdzić, jak wypadł na tle innych z mojej niszy. To coś, czego potrzebują duzi klienci, a czego nie skopiuje SaaS postawiony przez weekend na kolanie. Tego typu dane zbiera się latami. Więcej firm będzie budowało fosy tego typu. W skrócie: duzi gracze wygrywają zaufaniem + integracje + wsparcie + compliance. Mali wygrywają ultra-niszą albo super dystrybucją. Kluczem będzie dystrybucja - marketing. Dużo ciężej będzie wyróżnić się funkcjami produktu, bo sporo z tych nawet najbardziej udanych będzie można klonować w weekend od konkurencji. Gdy każdy może wystartować w weekend, wygrywa nie ten, kto „zbuduje”, tylko ten, kto najszybciej zamknie pętlę uczenia (analiza - insight - iteracja), czyli ma najlepszy know how pomiaru i analizy (eventy, kohorty, jakościowe feedback loops), potrafi robić 10 eksperymentów tygodniowo, a nie 10 feature’ów na kwartał. Specjaliści od lejka będą w cenie, choć wymagania od nich będą znacznie wyższe niż rok temu - obudowani AI będą dostarczać znacznie bardziej widowiskowe wnioski. Software slop. Gdy implementacja jest tania, największym błędem jest budowanie „czegokolwiek”. Sztuką jest znalezienie problemu z realnym bólem,sformułowanie propozycji wartości lepiej niż inni. Dobry pomysł historycznie był wart niewiele, bo liczyła się jego egzekucja. Mimo że to nie zmieni się o 180 stopni, to pomysł na pewno zyskuje na znaczeniu. Jestem w szoku, jak mało powstaje dobrych pomysłów. Tech ziomale z Twittera krzyczą o gamechangerach jak Claude Code czy OpenClaw, a sami wykorzystują tę technologię, żeby automatycznie dodać sobie przypomnienie do kalendarza Google albo „napisać” klon Calendly. Co drugi tworzy enigmatyczne narzędzie do „researchu”. Absolutna rewolucja… Budowanie produktu będzie łatwiejsze niż kiedykolwiek, ale budowanie biznesu trudniejsze niż kiedykolwiek. Do tej pory mogłeś być półogórkiem, który w latach 2000+ postawił produkt adresujący bolesny problem niedostrzegany jeszcze przez innych. Miałeś szczęście. Trafiłeś na falę, której nie zdołałeś spierniczyć brakiem pomysłu na dystrybucję, błędami w zarządzaniu, słabą obsługą klienta. Tego typu historie będą coraz rzadsze. Klonowanie UI jest łatwe. Trudniejsze jest utrzymanie dziesiątek integracji, radzenie sobie z limitami, zmianami API, błędami i niestabilnością partnerów, wersjonowanie, uprawnienia, mapowanie danych. Firmy, które mają już rozpykany kanał dystrybucji, będzie oczywiście łatwiej. Typowo jednak takie firmy mają wielokrotnie większą bezwładność. Wygrają firmy, które będą potrafiły połączyć już działające kanały dystrybucji z wysoką zwinnością. Póki co większość firm tylko myśli, że jest zwinna, bo kupili kilku osobom w firmie GPT Plus i skrócili roadmapę produktową z 24 miesięcy na 18. Te firmy będą cierpieć - szczególnie produkty cyfrowe, bo naturalnie kopalnia węgla rządzi się innymi prawami. Eksplozja mikro-SaaS: tysiące małych narzędzi dla nisz, bo koszt startu spada drastycznie. W marketingu aplikacji pojawiają się nowe kanały dystrybucji i formaty reklamowe. Odwieczna marketingowa gonitwa: ludzie przyzwyczajają się do reklam, reklamy przestają działać, pojawiają się nowe sposoby zwrócenia uwagi. AI SEO, marketplace’y Custom GPT, marketplace’y serwerów MCP itd. Co parę lat pojawia się nowy kanał, który na początku daje fenomenalne zwroty. Jak FB Ads na początku poprzedniej dekady. Jak TikTok Ads parę lat temu. Kolejnym będą GPT Ads. Nowe kanały dystrybucji będą walczyć nie tylko o atencję klientów, ale też o względy agentów AI rozsyłanych przez klientów. AI SEO już dziś jest w części takim właśnie kanałem. Walczymy o ilość cytowań naszej domeny w modelach AI, a więc realnie o to, jak często agenci AI wybiorą naszą stronę jako tę, na którą chcą się powołać. Nietrudno sobie wyobrazić specjalne marketplace dla agentów AI. Takie g2 lub Cartera ale dla agentów AI. Uff, trochę mi zeszło. Mam nadzieję, że moje wypociny Wam się przydadzą. W razie pytań: walcie zawsze śmiało!

POV: Bootstrapping a startup in Estonia, 2026 Meanwhile, government, scaling all support to zero: EVAT: “Entrepreneurship support duplicates EAS - let’s shut it down.” 💀 EISA: “No EAS grants anymore. Loans only. Big exporters first.” 💀 Good luck bootstrapping, lads! 🙂