СМИ: утечка раскрыла источники данных Suno
В похищенном исходном коде музыкального ИИ-сервиса Suno обнаружились инструкции и журналы загрузки аудио с YouTube Music, Deezer, Pond5 и других платформ для обучения моделей. О результатах своего расследования сообщили журналисты 404 Media.
Хакер под ником ellie.191 рассказал изданию, что получил доступ к системам Suno после заражения червем Shai-Hulud компьютера одного из сотрудников. Вредонос распространялся через скомпрометированные пакеты npm и похищал учетные данные, токены и ключи доступа.
Точная роль ellie.191 в атаке не установлена. По оценке Socket, он мог участвовать в первоначальном заражении либо воспользоваться учетными данными, которые червь ранее разместил в открытом репозитории GitHub.
По словам хакера, он получил сведения о сотнях тысяч пользователей, включая адреса электронной почты, телефонные номера и информацию, связанную со Stripe. Журналисты проверили отдельные записи через их предполагаемых владельцев, но полный масштаб и состав утечки независимо не установлены.
Компания подтвердила инцидент, обнаруженный в ноябре 2025 года, и подчеркнула, что не хранит полные номера банковских карт клиентов в Stripe.
«Инцидент быстро локализовали. Он затронул преимущественно устаревший код. Конфиденциальные персональные данные не были скомпрометированы», — заявил представитель Suno.
При этом сервис не опубликовал технический отчет, который позволил бы проверить перечень затронутых систем и категорий информации.
Какие данные нашли в коде
По данным 404 Media, один из файлов зафиксировал загрузку 2 013 545 музыкальных клипов с YouTube Music общей продолжительностью 113 879 часов. Другой набор с пометкой ytm_tagged включал 152 162 часа размеченных записей с YouTube.
В коде также фигурировали 62 117 часов музыки из Pond5, 12 287 часов с Deezer, 17 615 часов в наборе genius_hq и 19 514 часов из Международного проекта библиотеки музыкальных партитур. Jamendo соответствовало 3726 часов, Freesound — 410 часов, а набору musescore_lyrics — 103 часа.
Еще один файл описывал план загрузить около 1 млн часов подкастов примерно из 420 000 RSS-лент. Из опубликованных сведений неясно, реализовала ли Suno этот план и вошли ли материалы в обучающие данные.
Для сбора аудио с YouTube разработчики использовали прокси-сервисы Bright Data, утверждает Socket. Они позволяют направлять запросы через сторонние IP-адреса.
‼️ BREAKING: A hacker breached AI music company Suno using the Shai-Hulud worm and released source code showing how its training set was built:
— International Cyber Digest (@IntCyberDigest) July 16, 2026
— 113,879 hours of YouTube Music
— 62,117 hours of Pond5
— 12,287 hours of Deezer
— plus Genius lyrics and a plan to download roughly… pic.twitter.com/iSbM8EHeeQ
Ранее разработчики Suno раскрыли, что обучают модели на десятках миллионов общедоступных аудиофайлов и связанных с ними метаданных. Компания признала, что среди них могут быть произведения, защищенные интеллектуальными правами. Сбор данных продолжается с весны 2023 года.
Как утечка связана с исками лейблов
21 мая Universal Music Group и Sony Music Entertainment попросили федеральный суд Массачусетса добавить к иску против Suno 61 026 записей. Лейблы заявили, что обнаружили их в обучающих данных с помощью технологии аудиофингерпринтинга Audible Magic.
В судебных материалах приводится более ранняя позиция Suno: компания признала, что десятки миллионов записей в обучающем массиве предположительно включали произведения, права на которые принадлежат истцам. При этом Suno считает такое использование трансформативным и подпадающим под принцип добросовестного использования.
Лейблы утверждают, что нашли совпадения с миллионами своих записей, а 61 026 произведений представляют лишь выбранную часть. Суд пока не решил, разрешать ли такое расширение иска.
Suno сослалась на параллельное дело против Udio. 30 июня суд в Нью-Йорке отказался добавить к нему более 30 000 произведений, поскольку это существенно изменило бы масштаб разбирательства на позднем этапе.
Отдельный спор связан не с самим обучением, а со способом получения файлов. В сентябре 2025 года лейблы добавили требования по разделу 1201 Закона США об авторском праве в цифровую эпоху (DMCA), который запрещает обход технических средств контроля доступа.
Истцы утверждают, что Suno применяла YT-DL и YT-DLP для обхода меняющегося шифра YouTube и превращения потокового аудио в загружаемые файлы. Представители сервиса заявили, что ограничения платформы контролируют копирование, а не сам доступ к произведениям.
Утекший код может поддерживать фактическую часть позиции лейблов о загрузке аудио с YouTube и использовании прокси. Однако он сам по себе не доказывает обход конкретного технического средства и нарушение DMCA.
В ноябре 2025 году Warner Music Group урегулировала спор с Suno и заключила лицензионное соглашение. В рамках сделки компания приобрела сервис поиска концертов Songkick и согласилась заменить действующие модели новыми лицензированными версиями.
Напомним, в марте 2026 года Suno представила модель v5.5 с функциями создания персонализированных ИИ-моделей и генерации музыки собственным голосом.
