Nowości
Hakerzy wykradli kod źródłowy Suno, ujawniając skalę scrapingu YouTube i Deezer

Spis treści
Nieznany haker przekazał serwisowi 404 Media fragmenty kodu źródłowego popularnej aplikacji do generowania muzyki Suno. Dokumenty pochodzące z lat 2023-2024 opisują ze szczegółami, skąd firma brała materiał do trenowania swoich modeli - i pokazują skalę, która dotąd nie była publicznie znana.
Jak doszło do włamania
Według doniesień haker uzyskał dostęp do systemów Suno dzięki atakowi na łańcuch dostaw, przejmując poświadczenia jednego z pracowników. Ten dostęp otworzył drogę do repozytoriów kodu źródłowego firmy oraz danych klientów gromadzonych w Stripe, systemie obsługującym płatności.
Suno potwierdziło, że do incydentu doszło w listopadzie 2025 roku, ale nie poinformowało wtedy o tym swoich użytkowników. Firma ujawniła sprawę dopiero po tym, jak haker skontaktował się z dziennikarzami i przekazał im materiały.
Co pokazuje wykradziony kod
Najbardziej znaczącym elementem wycieku są nie same dane klientów, lecz komentarze i zmienne w kodzie źródłowym, które opisują pochodzenie danych treningowych. Według 404 Media i Engadget pliki wskazują na pobieranie treści z YouTube Music, Deezer, Genius, a także z bibliotek Pond5, Jamendo, Freesound, International Music Score Library Project oraz z podcastów przez kanały RSS.
Skala, jaką sugerują te zapisy, jest ogromna. Jeden z plików dotyczących YouTube Music wskazywał na 2 013 545 pobranych klipów muzycznych w momencie ostatniej aktualizacji. Inne komentarze w kodzie mówią o 113 879 godzinach nagrań z YouTube Music, 17 615 godzinach z Genius, 62 117 godzinach z Pond5, 19 514 godzinach z IMSLP, 12 287 godzinach z Deezer i 3726 godzinach z Jamendo.
Spór o prawa autorskie nabiera nowego wątku
Suno od dawna broni się przed pozwami wielkich wytwórni muzycznych, argumentując, że trenowanie modeli na materiałach dostępnych publicznie mieści się w granicach amerykańskiej doktryny fair use. Wyciek dostarcza jednak konkretnych, technicznych dowodów na to, jak dokładnie firma pozyskiwała dane, co może wzmocnić pozycję powodów w toczących się procesach.
no sensitive personal information was compromised - rzecznik Suno
RIAA, organizacja reprezentująca amerykański przemysł fonograficzny, od miesięcy twierdzi, że pozyskiwanie treści z YouTube z pominięciem zabezpieczeń platformy narusza zarówno regulacje DMCA, jak i regulamin serwisu. Ujawnione fragmenty kodu, opisujące mechanizmy pobierania treści z konkretnych serwisów, mogą stać się materiałem dowodowym w tych sporach.
Dane klientów też wyciekły
Oprócz kodu źródłowego haker uzyskał dostęp do danych osobowych klientów Suno, obejmujących adresy e-mail, numery telefonów oraz częściowe dane kart płatniczych przechowywane w systemie Stripe. Firma określiła incydent jako ograniczony i szybko opanowany, zapewniając, że nie doszło do wycieku wrażliwych danych osobowych.
Suno nie podało dokładnej liczby poszkodowanych kont ani nie wyjaśniło, dlaczego o incydencie z listopada 2025 roku poinformowało dopiero po ośmiu miesiącach, gdy sprawa i tak wyszła na jaw za sprawą hakera i dziennikarzy.
Znaczenie dla twórców muzyki
Sprawa dotyka szerszego problemu, z którym od miesięcy mierzą się twórcy muzyki na całym świecie, w tym w Polsce, gdzie muzycy i wydawcy coraz częściej odkrywają własne nagrania w zbiorach treningowych modeli generatywnych. Konkretne liczby godzin i źródeł ujawnione w kodzie Suno dają po raz pierwszy namacalny obraz skali tego zjawiska, zamiast ogólnikowych deklaracji firm o "publicznie dostępnych danych".
Dla branży muzycznej wyciek oznacza też argument w dyskusji o systemach znakowania utworów tworzonych przez AI i o odpowiedzialności platform streamingowych za to, jak ich zasoby są wykorzystywane przez firmy trenujące modele generatywne.


