Un hacker ha ottenuto accesso ai sistemi di Suno, facendo emergere nuovi dettagli sulle modalità con cui la piattaforma di musica generativa avrebbe raccolto il materiale utilizzato per addestrare i propri modelli. L’azienda ha confermato di aver individuato nel novembre 2025 un incidente di sicurezza definito limitato e rapidamente contenuto. La violazione avrebbe riguardato soprattutto codice sorgente non più utilizzato, ma i dati sottratti comprenderebbero anche informazioni sulle pratiche di raccolta dei contenuti e sull’elenco dei clienti.
L’accesso sarebbe partito da un dipendente di Suno, colpito attraverso un worm che avrebbe permesso all’aggressore di impossessarsi delle credenziali necessarie per entrare negli account aziendali. Tra i servizi raggiunti figurerebbero GitHub e piattaforme cloud, un passaggio che avrebbe aperto la strada al recupero del codice e della documentazione relativa ai dati di addestramento. La dinamica mostra come anche un singolo account compromesso possa ampliare rapidamente il perimetro di un’intrusione.
I dati ottenuti dall’hacker indicano che Suno avrebbe effettuato operazioni di scraping su musica e testi provenienti da YouTube Music, Deezer e Genius, oltre che da librerie di musica stock. Per raccogliere contenuti da YouTube, comprese versioni a cappella dei brani, l’azienda potrebbe aver utilizzato servizi proxy. Lo stesso sistema avrebbe sfruttato feed RSS per acquisire centinaia di migliaia di podcast, ampliando così il ventaglio di materiali potenzialmente impiegati nel processo di addestramento.
Il tema non è del tutto nuovo per Suno. In un documento depositato in tribunale nel 2024, la società aveva ammesso che i propri sistemi avevano raccolto da Internet decine di milioni di registrazioni destinate all’addestramento. La posizione dell’azienda è che tale impiego rientri nel fair use previsto dalla normativa statunitense sul diritto d’autore. La violazione aggiunge però dettagli tecnici sulle fonti e sugli strumenti che sarebbero stati utilizzati per costruire quella base di dati.
Suno è già coinvolta negli Stati Uniti in una causa per violazione del copyright avviata dalle etichette discografiche. Warner Music Group si è successivamente ritirata dal procedimento dopo aver raggiunto un accordo di licenza con la società. La combinazione tra contenzioso e dati sottratti riporta al centro la distanza tra la disponibilità pubblica di un file online e la possibilità di impiegarlo su vasta scala per addestrare sistemi capaci di generare nuovi contenuti musicali.
La violazione avrebbe inoltre consentito di ottenere una lista contenente informazioni su centinaia di migliaia di clienti, tra cui indirizzi email e numeri di telefono. Suno sostiene tuttavia che nessuna informazione personale sensibile sia stata compromessa e precisa di non avere accesso ai numeri completi delle carte di credito conservati attraverso Stripe. Considerata la natura limitata dei dati ritenuti coinvolti, la società ha stabilito che le notifiche individuali agli utenti non fossero richieste dalle leggi applicabili sulla privacy.
Secondo Suno, i suoi modelli sono stati addestrati su file musicali pubblicamente disponibili e sui relativi metadati accessibili attraverso siti di terze parti nell’Internet aperto. L’azienda afferma inoltre di utilizzare sistemi progettati per impedire agli utenti di replicare la musica esistente degli artisti. Restano così intrecciati due fronti: la sicurezza del codice e delle credenziali aziendali, da un lato, e la trasparenza sui materiali impiegati dall’AI generativa musicale, dall’altro.