“我给他们员工丢了个蠕虫。”——靠着这句听起来像电影台词的操作,一名黑客拿到了Suno的内部源码和客户名单。

404 Media拿到的数据显示,这家AI音乐公司的爬虫触角伸得比公开承认的远得多。YouTube Music、Deezer、Genius、免版税音乐库,一个都没放过。手法包括用代理服务绕限制、专门抓取阿卡贝拉版本、通过RSS订阅源批量收割播客——Suno不仅抓歌,连歌词库和语音内容也照单全收。

打开网易新闻 查看精彩图片

本次泄露给一桩本来就棘手的版权官司浇了桶油。美国唱片公司集体起诉Suno侵权,华纳音乐去年底选择和解、签了授权协议。但Suno在2024年法庭文件里的原话是:我们从网上爬了“数千万录音”,这叫合理使用。现在黑客拿到的内部爬虫指令证明,Suno的做法比那几句法律说辞具体得多、也系统得多:针对特定平台、用专门脚本、绕反爬机制——整个流程跟公开声明的“合理使用”差着好几步。

关于入侵路径,黑客说得相当直白:钓鱼植入蠕虫 → 拿到GitHub和云服务凭证 → 源码和客户库全暴露。那个客户名单涉及几十万用户,包括邮箱和电话号码。Suno回复404 Media时确认了这件事,但把严重性往下调了两档:“2025年11月发现的安全事件范围有限、迅速控制。涉及的主要是已停用的旧源码,没有敏感个人信息泄露。Stripe那边我们拿不到完整信用卡号,基于现有信息评估,不需要按隐私法规单独通知用户。”

你品一品这几句话的矛盾感。Suno发言人一边强调“我们用公开可用的音乐文件训练模型,系统还设有防复制艺人作品的功能”,一边承认源码被端、客户列表外泄。就算信用卡号安全,几十万人的邮箱电话流向不明,性质怎么也算不上“不用通知”。更何况被泄的旧源码里恰好包含爬虫逻辑和训练数据来源,时间线上正好扣回Suno在法庭上轻描淡写的“我们只是用了公开网络内容”。

《大西洋月刊》上个月才扒过AI音乐训练数据集里数百万首歌的来源问题,现在黑客直接交了份实操手册。回看整个链条:唱片公司起诉 ➜ 华纳退出和解 ➜ Suno法庭辩解“合理使用” ➜ 源码泄露印证系统性抓取 ➜ 公司宣布“没损失敏感信息”。每一个节点都在给AI训练与版权这条敏感线增加张力——训练方咬定公开即允许,版权方说你爬墙扒门也算公开吗?