Platform musik AI Suno mengalami kebocoran data pada 2025 ketika seorang peretas menggunakan worm Shai-Hulud untuk menyusup ke sistem perusahaan dan membocorkan kode sumber internal yang mengungkap asal-usul data pelatihannya. File yang bocor, pertama kali dilaporkan oleh 404 Media, mendokumentasikan bahwa Suno meng-crawl lebih dari 113.879 jam dari YouTube Music, 62.117 jam dari perpustakaan stok Pond5, dan 12.287 jam dari Deezer, di antara sumber lainnya. Serangan tersebut juga mengekspos email pelanggan, nomor telepon, serta informasi pembayaran Stripe untuk ratusan ribu pengguna, seperti yang dijelaskan peretas. Suno mengidentifikasi insiden tersebut pada November 2025 dan mengkarakterkannya sebagai terbatas, yang terutama melibatkan kode sumber yang sudah ketinggalan zaman. Kebocoran ini memberikan konfirmasi teknis atas tuduhan yang dibuat Recording Industry Association of America dalam gugatan 2024-nya terhadap Suno, yang menuduh perusahaan mencuri lagu secara langsung dari YouTube—klaim yang dibantah Suno dengan pembelaan penggunaan wajar.
Dokumen Kode Sumber Bocoran Menjabarkan Sumber dan Skala Data Pelatihan
Materi yang bocor berisi instruksi peng-crawl dan log internal dari 2023 dan 2024. Menurut komentar file internal yang ditinjau oleh 404 Media, perpustakaan pelatihan mencakup 113.879 jam YouTube Music, 152.162 jam lagu YouTube ber-tag, 62.117 jam dari Pond5, 12.287 jam dari Deezer, serta 17.615 jam dalam sebuah dataset berlabel genius_hq yang terkait dengan materi yang dikumpulkan melalui Genius. Kode itu juga mendokumentasikan rencana untuk mengunduh sekitar 1 juta jam audio podcast melalui RSS feed. Satu file internal yang melacak ingest YouTube Music saja mencatat 2.013.545 klip musik.
Peretas mengklaim telah menggunakan malware bernama worm Shai-Hulud, yang dinamai dari cacing pasir dalam Dune karya Frank Herbert. Suno, salah satu generator musik AI terbesar online, memungkinkan pengguna mengetik deskripsi teks lalu menerima lagu lengkap dalam hitungan detik. Membangun kemampuan tersebut memerlukan dataset pelatihan yang substansial—kumpulan file audio yang digunakan untuk mengajari model suara berbagai genre dan gaya.
Suno Mengakui Kebocoran yang Melibatkan Catatan Pelanggan
Peretas mengklaim telah mengakses catatan yang terkait dengan ratusan ribu pelanggan, termasuk email, nomor telepon, dan informasi terkait Stripe. Suno membantah bahwa informasi pribadi sensitif dikompromikan. Perusahaan mengatakan pihaknya mengidentifikasi insiden pada November 2025 dan menyebutnya terbatas. Suno menyimpulkan bahwa paparan terutama melibatkan kode sumber yang sudah ketinggalan zaman dan tidak lagi digunakan, serta menyimpulkan bahwa notifikasi individual pelanggan tidak diperlukan berdasarkan undang-undang privasi yang berlaku. Pengguna mengetahui kebocoran ini melalui pemberitaan.
Suno sebelumnya telah mengungkapkan di bawah hukum California AB 2013 bahwa data pelatihannya mungkin mencakup musik yang dilindungi hak kekayaan intelektual dan mencantumkan korpusnya sebagai puluhan juta file audio musik publik yang tersedia. Yang ditambahkan oleh peretasan ini adalah kekhususan—berkas hukum tersebut dibuat samar, dan kode yang bocor tidak.
Tuduhan Gugatan RIAA yang Dikonfirmasi oleh File yang Bocor
Recording Industry Association of America menuduh dalam amandemen 2025 terhadap gugatan awal 2024-nya melawan Suno bahwa perusahaan sedang merobek lagu secara langsung dari YouTube. Gugatan tersebut menuntut 150.000 dolar AS per insiden pelanggaran. Kode sumber yang diretas menguatkan tuduhan utama RIAA. Kasus Suno dengan Sony dan UMG masih aktif di pengadilan federal. Penilaian perusahaan berada di 5,4 miliar dolar AS dengan sekitar 100 juta pengguna di platform tersebut.
Udio, yang menjadi target dalam gugatan paralel yang diajukan oleh koalisi label besar yang sama, menyelesaikan kesepakatan dengan Warner Music pada November 2025 dan sedang beralih ke platform berlisensi. Pada Juni 2026, The Atlantic menerbitkan empat basis data yang dapat dicari yang mendokumentasikan musik yang digunakan untuk melatih model AI—satu berisi 12 juta track, satu lagi 9 juta, dan dua lainnya masing-masing sekitar 100.000.
FAQ
Data apa yang diekspos oleh kebocoran Suno pada 2025?
Kebocoran itu mengekspos kode sumber internal yang mendokumentasikan bahwa Suno meng-crawl 113.879 jam dari YouTube Music, 62.117 jam dari Pond5, 12.287 jam dari Deezer, dan sumber lainnya. Peretas juga mengklaim telah mengakses email pelanggan, nomor telepon, serta informasi pembayaran Stripe untuk ratusan ribu pengguna.
Kapan Suno mengidentifikasi insiden keamanan?
Suno mengidentifikasi insiden tersebut pada November 2025 dan mengkarakterkannya sebagai terbatas, yang terutama melibatkan kode sumber yang sudah ketinggalan zaman dan tidak lagi digunakan. Perusahaan menyimpulkan bahwa notifikasi individual pelanggan tidak diperlukan berdasarkan undang-undang privasi yang berlaku.
Bagaimana kebocoran ini berkaitan dengan gugatan RIAA terhadap Suno?
Kode sumber yang bocor menguatkan tuduhan Recording Industry Association of America dalam gugatan 2024-nya bahwa Suno merobek lagu langsung dari YouTube. Gugatan tersebut menuntut 150.000 dolar AS per insiden pelanggaran dan masih aktif di pengadilan federal bersama Sony dan UMG.