Музична ШІ-платформа Suno зазнала витоку даних у 2025 році, коли хакер із використанням хробака Shai-Hulud проник у системи компанії та оприлюднив внутрішній вихідний код, який розкриває походження її навчальних даних. Оприлюднені файли, про які вперше повідомило 404 Media, документують, що Suno зібрала понад 113 879 годин із YouTube Music, 62 117 годин із бібліотеки стокових матеріалів Pond5 і 12 287 годин із Deezer — серед інших джерел. Також вторгнення оголило електронні адреси клієнтів, телефонні номери та платіжну інформацію Stripe для того, що хакер описує як сотні тисяч користувачів. Suno виявила інцидент у листопаді 2025 року й охарактеризувала його як обмежений: він стосувався переважно застарілого вихідного коду. Витік надає технічне підтвердження звинуваченням, які Асоціація звукозаписної індустрії Америки (RIAA) висунула у своєму позові проти Suno в 2024 році; там компанію звинувачували в тому, що вона виривала пісні безпосередньо з YouTube. Це твердження Suno оскаржувала, посилаючись на захист добросовісного використання.
Документи із витоку вихідного коду: джерела навчальних даних і масштаб
Оприлюднені матеріали складаються з інструкцій щодо скрейпінгу та внутрішніх журналів за 2023 і 2024 роки. Згідно з коментарями у внутрішніх файлах, які розглянуло 404 Media, навчальна бібліотека включала 113 879 годин YouTube Music, 152 162 години тегованих треків YouTube, 62 117 годин із Pond5, 12 287 годин із Deezer і 17 615 годин у наборі даних із міткою genius_hq, пов’язаному з матеріалами, зібраними через Genius. Код також описував плани завантажити приблизно 1 мільйон годин подкастового аудіо через RSS-канали. Один внутрішній файл, що відстежував інсенджинг саме YouTube Music, зафіксував 2 013 545 музичних кліпів.
Хакер стверджує, що використовував шкідливе ПЗ під назвою хробак Shai-Hulud, названий на честь піщаних хробаків у Dune Френка Герберта. Suno — одна з найбільших онлайн-генераторів музики на базі ШІ — дає змогу користувачам вводити текстовий опис і отримувати повноцінну пісню за секунди. Для створення такої можливості потрібен значний навчальний набір даних — колекція аудіофайлів, використана, щоб навчити модель того, як звучать різні жанри й стилі.
Suno визнає витік із залученням записів клієнтів
Хакер заявляв, що отримав доступ до записів, пов’язаних із сотнями тисяч клієнтів, включно з електронними адресами, телефонними номерами та інформацією, пов’язаною зі Stripe. Suno заперечує, що конфіденційна персональна інформація була скомпрометована. Компанія каже, що виявила інцидент у листопаді 2025 року й назвала його обмеженим. Suno встановила, що вплив в основному стосувався застарілого вихідного коду, який більше не використовується, і дійшла висновку, що індивідуальні повідомлення клієнтів не потрібні згідно з чинними законами про приватність. Користувачі дізнаються про витік через новинне висвітлення.
Раніше Suno вже розкривала за законами Каліфорнії AB 2013, що її навчальні дані можуть включати музику, яка підпадає під захист інтелектуальної власності, і вказувала корпус як десятки мільйонів публічно доступних музичних аудіофайлів. Те, що додає цей хак, — конкретика: правова заява була навмисно нечіткою, а оприлюднений код — ні.
Звинувачення RIAA, підтверджені витоками файлів
RIAA стверджувала у поправці від 2025 року до свого первісного позову проти Suno за 2024 рік, що компанія копіювала пісні безпосередньо з YouTube. Позов вимагає $150 000 за кожен випадок порушення. Витік вихідного коду підтверджує ключове твердження RIAA. Справа Suno проти Sony та UMG залишається активною у федеральному суді. Оцінка компанії становить $5,4 мільярда, а на платформі — близько 100 мільйонів користувачів.
Udio, яку було націлено в паралельному позові, поданому тією ж коаліцією великих лейблів, домовилася з Warner Music у листопаді 2025 року й переходить на ліцензовану платформу. У червні 2026 року The Atlantic опублікувала чотири пошукові бази даних, які описують музику, використану для навчання моделей ШІ: одна містить 12 мільйонів треків, інша — 9 мільйонів, а ще дві — приблизно по 100 000 кожна.
FAQ
Які дані витік у Suno розкрив у 2025 році?
Витік розкрив внутрішній вихідний код, який документує, що Suno зібрала 113 879 годин із YouTube Music, 62 117 годин із Pond5, 12 287 годин із Deezer та інших джерел. Хакер також стверджував, що отримав доступ до електронних адрес клієнтів, телефонних номерів і платіжної інформації Stripe для сотень тисяч користувачів.
Коли Suno виявила інцидент із безпекою?
Suno виявила інцидент у листопаді 2025 року й охарактеризувала його як обмежений: він стосувався переважно застарілого вихідного коду, який уже не використовується. Компанія дійшла висновку, що індивідуальні повідомлення клієнтів не потрібні згідно з чинними законами про приватність.
Як витік пов’язаний із позовом RIAA проти Suno?
Витік вихідного коду підтверджує твердження Асоціації звукозаписної індустрії Америки (RIAA) у її позові проти Suno за 2024 рік, що Suno виривала пісні безпосередньо з YouTube. Позов вимагає $150 000 за кожен випадок порушення і залишається активним у федеральному суді разом із Sony та UMG.