Um hacker entregou à 404 Media material interno da Suno que parece detalhar de onde o gerador de música por IA obteve seus dados de treinamento — e a maior fonte individual listada é o YouTube Music. A reportagem, publicada em 15 de julho por Jason Koebler, chega enquanto a Suno é processada por gravadoras que a acusam precisamente disso.

O que foi obtido

O material decorre de um ataque à cadeia de suprimentos em novembro de 2025 que comprometeu as credenciais de um funcionário e expôs o código-fonte da Suno. O que o hacker forneceu é código-fonte de 2023 e 2024, além de arquivos de configuração de scraping e documentação sobre o escopo dos conjuntos de dados — não memorandos estratégicos nem correspondência executiva. Dados de clientes, incluindo e-mails e números de telefone, também foram incluídos na violação. A Suno confirma a data de novembro. Nenhum outro veículo autenticou os arquivos de forma independente.

Os números nos arquivos

A documentação lista 2.013.545 clipes do YouTube Music, totalizando 113.879 horas, além de um conjunto separado "YTM Tagged" de 152.162 horas. Abaixo disso: Pond5 com 62.117 horas, IMSLP com 19.514, Genius com 17.615, Deezer com 12.287, Jamendo com 3.726 e Freesound com 410. Cerca de 1 milhão de horas vieram de cerca de 420.000 podcasts via feeds RSS. Representantes do YouTube Music, Deezer, Genius e das bibliotecas de stock não responderam aos pedidos de კომენტário da 404 Media.

O que a Suno disse

A Suno não contestou o scraping. "Como afirmamos em registros e divulgações públicas, os modelos de IA da Suno foram treinados com arquivos de música publicamente disponíveis e metadados relacionados acessíveis em sites de terceiros na internet aberta", disse um porta-voz, acrescentando que, em novembro de 2025, a empresa "determinou que a Suno havia sido alvo de um incidente de segurança limitado que foi rapidamente contido". O porta-voz afirmou que o incidente "envolveu principalmente código-fonte desatualizado que não está mais em uso" e que nenhuma informação pessoal sensível foi comprometida. Em tribunal, a Suno já admitiu treinar com "essencialmente todos os arquivos de música de qualidade razoável que são acessíveis na internet aberta".

Por que os arquivos importam juridicamente

A emenda à petição das gravadoras em setembro de 2025 acrescentou uma tese de anticircunvenção sob a DMCA §1201 — de que a Suno contornou o "rolling cipher" do YouTube para extrair áudio — com a RIAA buscando US$ 2.500 por ato de circumvenção, além de danos por obra. A Suno argumenta que o cipher é um controle de cópia, não de acesso. A Warner Music fechou acordo em novembro de 2025, licenciando seu catálogo e vendendo o Songkick para a Suno; UMG e Sony continuam como autoras. Nenhum tribunal decidiu sobre uso justo ou circumvenção.