Uniklá data ukazují, že Suno získávalo miliony skladeb z internetu
Hudební generátor Suno měl podle uniklých souborů trénovat své modely na milionech skladeb a textech stažených z YouTube Music, Deezeru, Genius a dalších platforem. Materiály zároveň vrhají nové světlo na právní spory kolem používání autorsky chráněné hudby i na bezpečnost zákaznických dat.
Co odhalil hackerský útok
Data, která po bezpečnostním incidentu získal hacker vystupující jako „ellie.191“, podle serveru 404 Media obsahují zdrojový kód Suno z let 2023 a 2024. Součástí mají být také instrukce pro stahování zvukových souborů z YouTube Music, Deezeru, Genius, Pond5, Jamendo, Freesound a International Music Score Library Project (IMSLP).
Uniklé materiály tak nabízejí vzácný pohled na to, jaká data Suno při vývoji svých modelů používalo. Firma dosud podrobnosti o trénovacích souborech a způsobu jejich získávání veřejně nepopisovala.
Miliony nahrávek a hodiny audia
Jeden ze souborů uvádí, že Suno v době poslední aktualizace zpracovalo 2 013 545 klipů z YouTube Music. Další dokumenty zmiňují datové sady se stovkami tisíc hodin obsahu z YouTube Music a tisíci hodin z Deezeru, Genius, IMSLP, Jamenda a Pond5. Z Freesound a textů z MuseScore měly pocházet stovky hodin materiálu.
Podle dalšího kódu Suno využívalo také externí společnost Bright Data ke stahování hudby z YouTube. Zdrojový kód údajně vyhledával i akustické verze skladeb, tedy nahrávky obsahující pouze vokály. Suno se podle uniklých materiálů pokoušelo stáhnout přibližně milion hodin podcastů prostřednictvím nástroje PodcastIndex.
Spor o autorská práva
Odhalené soubory mohou podpořit tvrzení, která zazněla v žalobách proti Suno. Americká organizace Recording Industry Association of America (RIAA) firmu obvinila mimo jiné z obcházení ochrany YouTube a takzvaného „stream rippingu“, tedy převádění streamovaného obsahu do souborů.
Suno přitom otevřeně přiznalo, že své modely trénuje na autorsky chráněných materiálech. Hájí se tím, že používání veřejně dostupných hudebních souborů z otevřeného internetu může být povoleno výjimkou fair use. O tom, zda tento výklad obstojí u soudu, ale zatím rozhodnuto není.
Nejasnosti kolem zákaznických údajů
Hacker se dostal také k údajům některých zákazníků, včetně e-mailových adres, telefonních čísel a informací o platbách přes Stripe. Několik oslovených uživatelů potvrdilo, že službu využívalo, a uvedlo, že je Suno o incidentu neinformovalo.
Mluvčí Suno serveru 404 Media řekl, že firma bezpečnostní incident zaznamenala v listopadu 2025 a rychle ho omezila. Podle společnosti se týkal především zastaralého zdrojového kódu, který už nebyl používán, a nebyly kompromitovány citlivé osobní údaje. Suno také uvedlo, že nemá přístup k úplným číslům platebních karet uloženým ve Stripe a vzhledem k omezenému rozsahu údajů nepovažovalo individuální upozornění za nutné.