Materiały ujawnione w wyniku ataku hakerskiego dostarczają twardych dowodów na to, co giganci branży muzycznej podejrzewali od dawna: startup masowo pobierał treści z platform takich jak YouTube, Deezer czy Genius, aby trenować swoje modele językowe. Wyciek nie tylko stawia pod znakiem zapytania dotychczasową linię obrony firmy w procesach o prawa autorskie, ale także obnaża poważne zaniedbania w obszarze cyberbezpieczeństwa i ochrony danych samych użytkowników.
Kulisy cyberataku i cichy wyciek danych
Do przełamania zabezpieczeń Suno doszło w listopadzie 2025 roku, kiedy to nieznany sprawca przeprowadził ukierunkowany atak na łańcuch dostaw (supply chain attack). Wykorzystując złośliwe oprogramowanie o nazwie Shai-Hulud, haker przejął dane uwierzytelniające jednego z pracowników startupu. Incydent ten otworzył mu drzwi do zastrzeżonych repozytoriów kodu oraz baz danych klientów. W ręce napastnika wpadły nie tylko kluczowe algorytmy, ale również wrażliwe dane użytkowników: adresy e-mail, numery telefonów oraz częściowe informacje o kartach płatniczych przetwarzanych przez system Stripe.
Reakcja startupu na to zdarzenie budzi spore kontrowersje. Suno zdecydowało się wyciszyć sprawę, określając incydent mianem „ograniczonego naruszenia bezpieczeństwa”. Firma nie wysłała oficjalnych powiadomień do poszkodowanych użytkowników, argumentując, że zdarzenie niosło za sobą minimalne ryzyko dla klientów. Prawdziwa bomba wybuchła jednak dopiero teraz, gdy zabezpieczone przez hakera materiały ujrzały światło dzienne i zostały poddane analizie.
Miliony utworów i podcastów pobrane bez zgody
Z analizy kodu źródłowego, którą jako pierwszy nagłośnił serwis 404 Media, wyłania się szczegółowy obraz metod pozyskiwania danych przez Suno. Zabezpieczone pliki dokumentują, że startup pozyskał ponad 2 miliony klipów wideo i audio z platformy YouTube Music. Narzędzia scrapingowe omijały zabezpieczenia techniczne serwisu, co bezpośrednio uderza w zasady korzystania z usług Google oraz przepisy prawa autorskiego.
YouTube to jednak nie jedyne źródło darmowej wiedzy dla algorytmów Suno. Z ujawnionych dokumentów wynika, że startup pobrał dziesiątki tysięcy godzin nagrań z platformy Deezer, teksty i metadane z serwisu Genius, zasoby komercyjnych bibliotek muzycznych stockowych oraz zawartość ponad 420 tysięcy podcastów za pośrednictwem kanałów RSS. Skala procederu pokazuje, że model generatywny Suno został zbudowany na fundamencie cudzej, często chronionej prawem autorskim twórczości.
Prawny klincz i walka o uczciwe użycie
Ujawnienie kodu źródłowego to potężny cios w strategię procesową Suno. Startup, podobnie jak jego bezpośredni konkurent Udio, znajduje się obecnie w stanie wojny prawnej z największymi wytwórniami muzycznymi zrzeszonymi w RIAA. Do tej pory przedstawiciele Suno bronili się, twierdząc, że korzystali wyłącznie z publicznie dostępnych plików muzycznych, a proces nauki maszynowej mieści się w ramach doktryny dozwolonego użytku (fair use).
Wytwórnie płytowe stoją na zupełnie innym stanowisku. Argumentują, że omijanie zabezpieczeń YouTube i masowy ripping strumieni audio stanowi bezpośrednie naruszenie ustawy DMCA oraz rażące łamanie praw twórców. Choć część branży (w tym Warner Music Group i Sony) wstrzymuje się z ostatecznymi decyzjami, czekając na przełomowe wyroki sądowe w sprawie fair use, to twarde dowody w postaci kodu źródłowego mogą zmusić Suno do pójścia na kosztowne ugody. Podobną ścieżkę legalnej współpracy obierają już najwięksi gracze – przykładowo Universal Music Group zawiera umowy licencyjne z wybranymi platformami technologicznymi, oferując artystom kontrakty typu opt-in, co pokazuje, że licencjonowanie, a nie dziki scraping, staje się pożądanym standardem.