Взлом сервиса Suno Источник изображения: bella1105/Shutterstock

Сервис генерации музыки на основе искусственного интеллекта Suno подвергся взлому. Как выяснило издание 404 Media, неизвестный хакер получил доступ не только к внутреннему исходному коду компании, но и к базе данных её клиентов. Утечка проливает свет на то, как именно Suno собирала материал для обучения своих моделей — вопрос, который уже второй год разбирают суды трёх континентов.

Как произошёл взлом

Хакер, представившийся под ником ellie.191, рассказал 404 Media, что проник в системы Suno через цепочку поставок npm-пакетов — самовоспроизводящийся червь Shai-Hulud заразил окружение разработчика при установке зависимостей. Этот вредонос ещё в сентябре 2025 года, за два месяца до атаки на Suno, публично описали специалисты Unit 42 из Palo Alto Networks, но компания на момент взлома уязвимость так и не устранила.

Червь похищает токены доступа к GitHub и учётные данные облачных сервисов. Получив их, ellie.191 добрался до закрытых репозиториев и облачной инфраструктуры Suno, откуда скачал исходный код 2023–2024 годов и клиентскую базу. Мотив хакер объяснил без затей — интерес к взлому как таковому, безотносительно конкретной цели.

реклама кормит Уточку 🦆

Что рассказал исходный код о сборе данных

Утёкшие файлы содержат подробную опись источников, из которых Suno годами собирала музыку, тексты и подкасты. Комментарии в коде указывают объём собранного материала по каждой площадке:

  • YouTube Music (с тегами) — 152 162 часа
  • YouTube Music — 113 879 часов, свыше 2 млн отдельных фрагментов
  • Pond5 (библиотека стоковой музыки) — 62 117 часов
  • IMSLP (International Music Score Library Project) — 19 514 часов
  • Genius (тексты и аудио) — 17 615 часов
  • Deezer — 12 287 часов
  • Jamendo — 3 726 часов
  • Freesound — 410 часов
  • MuseScore — 103 часа

В сумме это свыше 380 000 часов музыки — около 43 лет непрерывного звучания. Отдельно код показывает, что система целенаправленно искала на YouTube акапельные версии композиций — чистые вокальные дорожки без инструментала, — а через сервис PodcastIndex составила список из 420 000 подкастов с прицелом на загрузку около миллиона часов их аудио.

Для обхода защиты YouTube от массового автоматического скачивания Suno, судя по коду, прогоняла запросы через коммерческую прокси-сеть Bright Data с ротацией IP-адресов. Деталь важна не только для спора о добросовестном использовании: в законодательстве США есть отдельная норма — раздел 1201 закона DMCA, — которая запрещает обход технических средств защиты авторских прав сам по себе, независимо от того, что происходит с материалом дальше, и без исключения для fair use.

реклама кормит Уточку 🦆

Что случилось с данными пользователей

Помимо исходного кода, ellie.191 получил доступ к клиентской базе Suno — речь о сотнях тысяч пользователей. В руках хакера оказались адреса электронной почты, номера телефонов и данные платежей через Stripe. Полными номерами банковских карт Suno, по заявлению компании, не располагает — их хранит сам платёжный провайдер.

Компания квалифицировала инцидент как «ограниченный» и не отправила ни одного персонального уведомления. Опрошенные 404 Media пользователи подтвердили, что писем от Suno не получали. При этом штат Массачусетс, где зарегистрирована компания, обязывает уведомлять жителей штата, чьи email или телефон стали доступны посторонним при утечке, — так что решение обойтись без индивидуальных писем юристы называют спорным с точки зрения местного законодательства.

реклама кормит Уточку 🦆

Судебный контекст

Взлом пришёлся на фоне серии исков от звукозаписывающих лейблов. Warner Music Group вышла из разбирательства ещё в ноябре 2025 года, заключив с Suno лицензионное соглашение: помимо прочего, Suno получила принадлежащую Warner платформу для поиска концертов Songkick и обязалась выпустить легальные модели на каталоге лейбла. Universal Music и Sony Music продолжают судиться — в мае 2026 года они добивались расширения иска с изначальных 560 произведений до 61 026 конкретно идентифицированных записей, что по максимальной ставке компенсации в 150 000 долларов за произведение теоретически поднимает планку выплат до девяти миллиардов долларов.

Рассмотрение ключевых ходатайств в федеральном суде Массачусетса перенесено на апрель 2027 года. Раньше может появиться решение в Мюнхене: 31 июля 2026 года там ожидается вердикт по иску немецкого общества по управлению правами GEMA к Suno, и в случае победы GEMA решение можно будет привести в исполнение в Европе немедленно, не дожидаясь апелляций. Отдельный иск подала и датская организация Koda, назвавшая практику Suno крупнейшей кражей в истории музыкальной индустрии. Сама Suno при этом продолжает расти: в июне 2026 года компания привлекла 400 млн долларов инвестиций при оценке в 5,4 млрд долларов.

реклама кормит Уточку 🦆

Официальный ответ Suno

Компания подтвердила факт взлома изданию 404 Media, но настаивает на его ограниченном характере. В заявлении представителя Suno говорится:

Как мы указывали в публичных заявлениях и судебных документах, модели ИИ Suno обучены на общедоступных музыкальных файлах и связанных с ними метаданных, размещённых на сторонних сайтах в открытом интернете. В ноябре 2025 года мы установили, что Suno стала объектом ограниченного инцидента безопасности, который был быстро локализован. Расследование подтвердило, что инцидент затронул в основном устаревший исходный код, уже не используемый в работе компании, и что конфиденциальная личная информация не была скомпрометирована — в частности, у Suno нет доступа к полным номерам банковских карт клиентов в Stripe. Учитывая ограниченный характер затронутых данных, мы сочли, что индивидуальные уведомления не требуются в соответствии с применимым законодательством о защите персональных данных.

В компании также подчёркивают, что из метаданных для обучения намеренно исключены имена артистов, а в сам сервис встроены фильтры, блокирующие запросы с прямым упоминанием конкретных исполнителей или названий песен — эту конструкцию Suno называет «оригинальным творчеством по дизайну» и использует как один из аргументов защиты в суде.

Главный вопрос — законно ли обучать музыкальные нейросети на чужих записях без лицензии — получит первый судебный ответ уже 31 июля в Мюнхене. А для пользователей Suno из СНГ, чьи данные наравне с остальными могли попасть в утечку, история — лишний повод сменить пароль и настороженно отнестись к любым письмам, якобы пришедшим от сервиса.