一名黑客闯入了人工智能音乐平台 Suno,并携带了源代码,该源代码详细记录了该公司训练数据的确切来源。

404 Media 最先报道了此次泄露事件,该公司审查了泄露的文件。它证实了音乐行业自 2024 年以来在法庭上的说法。

入侵者声称使用了一种名为 Shai-Hulud 蠕虫的恶意软件,该蠕虫以 Frank Herbert 的沙丘中的巨大沙虫命名。 Suno 是最大的在线人工智能音乐生成器之一,用户可以输入文本描述并在几秒钟内收到完整的歌曲;构建该功能需要大量的训练数据集——用于教授模型不同流派和风格的音频文件的集合。

泄露的材料包括 2023 年和 2024 年的抓取指令和内部日志,提供了罕见的视角来了解这些管道的实际组装方式。

数据集细分是特定的。根据 404 Media 审查的内部文件评论,该训练库包括 113,879 小时的 YouTube Music、152,162 小时的标记 YouTube 曲目、来自库存音乐库 Pond5 的 62,117 小时、来自 Deezer 的 12,287 小时以及标记为 Genius_hq 的数据集中的 17,615 小时(与通过 Genius 收集的材料相关)。该代码还记录了通过 RSS feed 下载大约 100 万小时播客音频的计划。

️ 突发事件:一名黑客使用 Shai-Hulud 蠕虫病毒入侵了人工智能音乐公司 Suno,并发布了显示其训练集如何构建的源代码:

- 113,879 小时的 YouTube Music - 62,117 小时的 Pond5 - 12,287 小时的 Deezer - 加上 Genius 歌词和大致下载计划… pic.twitter.com/iSbM8EHeeQ

— 国际网络文摘 (@IntCyber​​Digest) 2026 年 7 月 16 日

仅跟踪 YouTube Music 摄取的一个内部文件就记录了 2,013,545 个音乐剪辑。这是数百万张录音,涵盖了数十年的音频,而且人们的兴趣不仅限于音乐。

黑客声称已经访问了与数十万客户相关的记录,包括电子邮件、电话号码和 Stripe 相关信息。 Suno 对敏感个人信息被泄露的说法提出异议。

该公司表示,它于 2025 年 11 月发现了这起事件,并称其为“有限”。 Suno 确定此次曝光主要涉及不再使用的过时源代码,并得出结论,根据适用的隐私法,不需要向个人客户发送通知。用户现在只是通过新闻报道才发现这一点。

事情是这样的:Suno 已经告诉任何愿意阅读其网站的人,类似的事情正在发生。根据加州 AB 2013 法律(要求人工智能公司披露其训练实践),该公司公开承认其训练数据可能包括“受知识产权保护”的音乐,并将该语料库列为数千万个公开可用的音乐音频文件。这次黑客攻击增加了特殊性:法律文件在设计上就很模糊,而泄露的代码则不然。

在有人突破之前,人工智能音乐训练的范围就已经变得清晰起来。 2026 年 6 月,《大西洋月刊》发布了四个可搜索数据库,记录了用于训练 AI 模型的音乐,其中一个包含 1200 万首曲目,另一个包含 900 万首曲目,另外两个数据库各包含约 100,000 首曲目。在黑客向任何人提供源代码之前,您可以查找您最喜欢的艺术家。

美国唱片工业协会在 2024 年对 Suno 提起的最初诉讼的 2025 年修正案中声称,该公司直接从 YouTube 上盗取歌曲——Suno 以合理使用为由对这一指控提出了抗辩。该诉讼要求每起侵权事件赔偿 15 万美元。被黑客入侵的源代码证实了 RIAA 的核心指控。

Udio 是同一大厂牌联盟提起的平行诉讼的目标,于 2025 年 11 月与华纳音乐达成和解,目前正在过渡到授权平台。 Suno 与索尼和环球音乐集团的案件仍在联邦法院审理中;该公司的估值为 54 亿美元,该平台拥有约 1 亿用户。

Suno 没有立即回应 Decrypt 的置评请求。

每日简报时事通讯