Nền tảng âm nhạc ứng dụng AI Suno đã gặp sự cố rò rỉ dữ liệu vào năm 2025, sau khi một hacker sử dụng mã độc Shai-Hulud để xâm nhập hệ thống của công ty và rò rỉ mã nguồn nội bộ, qua đó tiết lộ nguồn gốc dữ liệu huấn luyện. Các tệp rò rỉ, lần đầu được 404 Media đưa tin, cho thấy Suno đã trích xuất hơn 113.879 giờ từ YouTube Music, 62.117 giờ từ kho tư liệu Pond5, và 12.287 giờ từ Deezer, cùng nhiều nguồn khác. Cuộc xâm nhập cũng làm lộ email khách hàng, số điện thoại và thông tin thanh toán Stripe cho những gì hacker mô tả là hàng trăm nghìn người dùng. Suno xác định sự cố vào tháng 11 năm 2025 và mô tả đây là phạm vi giới hạn, liên quan chủ yếu đến mã nguồn đã lỗi thời. Vụ rò rỉ cung cấp xác nhận kỹ thuật cho các cáo buộc mà Hiệp hội Công nghiệp Ghi âm Hoa Kỳ (Recording Industry Association of America) đưa ra trong vụ kiện năm 2024 chống lại Suno, cáo buộc công ty “cào” nhạc trực tiếp từ YouTube—một cáo buộc Suno đã phản biện dựa trên lập luận sử dụng hợp lý.
Tài liệu rò rỉ gồm các hướng dẫn cào dữ liệu và nhật ký nội bộ từ năm 2023 và 2024. Theo các ghi chú trong file nội bộ mà 404 Media xem xét, thư viện huấn luyện bao gồm 113.879 giờ từ YouTube Music, 152.162 giờ từ các track YouTube được gắn thẻ, 62.117 giờ từ Pond5, 12.287 giờ từ Deezer, và 17.615 giờ trong một bộ dữ liệu có nhãn genius_hq gắn với tài liệu được thu thập thông qua Genius. Mã nguồn cũng ghi nhận kế hoạch tải xuống khoảng 1 triệu giờ âm thanh podcast thông qua các luồng RSS. Một file nội bộ theo dõi riêng quá trình nạp YouTube Music đã ghi nhận 2.013.545 clip nhạc.
Hacker cho biết đã dùng mã độc có tên mã Shai-Hulud, được đặt theo tên “sâu cát” trong Dune của Frank Herbert. Suno, một trong những nền tảng tạo nhạc AI lớn nhất trực tuyến, cho phép người dùng nhập mô tả bằng văn bản và nhận được một bài hát hoàn chỉnh trong vài giây. Để tạo ra khả năng đó, cần một bộ dữ liệu huấn luyện đáng kể—một bộ sưu tập các tệp âm thanh dùng để dạy mô hình về âm thanh của các thể loại và phong cách khác nhau.
Hacker tuyên bố đã truy cập các hồ sơ liên quan đến hàng trăm nghìn khách hàng, bao gồm email, số điện thoại và thông tin liên quan Stripe. Suno phản bác rằng dữ liệu cá nhân nhạy cảm đã bị xâm phạm. Công ty cho biết họ xác định sự cố vào tháng 11 năm 2025 và gọi đây là phạm vi giới hạn. Suno kết luận rằng mức độ lộ lọng chủ yếu liên quan đến mã nguồn đã lỗi thời không còn được sử dụng và cho rằng việc thông báo từng khách hàng là không bắt buộc theo các luật quyền riêng tư hiện hành. Người dùng đang biết về vụ rò rỉ thông qua các bài đưa tin.
Suno trước đó đã công bố theo luật AB 2013 của California rằng dữ liệu huấn luyện của họ có thể bao gồm nhạc thuộc phạm vi bảo hộ quyền sở hữu trí tuệ và liệt kê bộ sưu tập là hàng chục triệu tệp âm thanh nhạc công khai. Thứ mà vụ hack bổ sung là tính cụ thể—đơn kiện pháp lý vốn được viết mơ hồ theo thiết kế, còn mã nguồn bị rò rỉ thì không.
Hiệp hội Công nghiệp Ghi âm Hoa Kỳ đã cáo buộc trong một bản sửa đổi vào năm 2025 đối với vụ kiện ban đầu năm 2024 chống lại Suno rằng công ty đang “ripping” nhạc trực tiếp từ YouTube. Vụ kiện tìm kiếm 150.000 USD cho mỗi sự kiện vi phạm. Mã nguồn bị hack củng cố cáo buộc trọng tâm của RIAA. Vụ việc của Suno với Sony và UMG vẫn đang tiếp diễn tại tòa án liên bang. Định giá của công ty đạt 5,4 tỷ USD với khoảng 100 triệu người dùng trên nền tảng.
Udio, cũng là mục tiêu trong một vụ kiện song song do cùng liên minh hãng thu âm lớn nộp, đã đạt thỏa thuận với Warner Music vào tháng 11 năm 2025 và đang chuyển sang mô hình nền tảng được cấp phép. Vào tháng 6 năm 2026, The Atlantic đã công bố bốn cơ sở dữ liệu có thể tìm kiếm về âm nhạc được dùng để huấn luyện các mô hình AI—một cơ sở chứa 12 triệu bản nhạc, một cơ sở khác có 9 triệu, và hai cơ sở nữa với khoảng 100.000 mỗi cơ sở.
Vụ rò rỉ của Suno đã lộ ra dữ liệu gì vào năm 2025?
Vụ rò rỉ đã lộ mã nguồn nội bộ ghi nhận rằng Suno đã cào 113.879 giờ từ YouTube Music, 62.117 giờ từ Pond5, 12.287 giờ từ Deezer, và các nguồn khác. Hacker cũng tuyên bố đã truy cập email khách hàng, số điện thoại và thông tin thanh toán Stripe cho hàng trăm nghìn người dùng.
Suno xác định sự cố an ninh khi nào?
Suno xác định sự cố vào tháng 11 năm 2025 và mô tả đây là phạm vi giới hạn, liên quan chủ yếu đến mã nguồn đã lỗi thời không còn được sử dụng. Công ty kết luận rằng việc thông báo từng khách hàng là không bắt buộc theo các luật quyền riêng tư hiện hành.
Vụ rò rỉ liên quan như thế nào đến vụ kiện của RIAA chống lại Suno?
Mã nguồn bị rò rỉ củng cố cáo buộc của Hiệp hội Công nghiệp Ghi âm Hoa Kỳ trong vụ kiện năm 2024 rằng Suno đã “ripped” nhạc trực tiếp từ YouTube. Vụ kiện tìm kiếm 150.000 USD cho mỗi sự kiện vi phạm và vẫn đang tiếp diễn tại tòa án liên bang với Sony và UMG.
Tin tức liên quan
Phòng thí nghiệm Thinking Machines Lab của Mira Murati ra mắt mô hình AI mã nguồn mở Inkling
Sự kiện GPT-5.6 Sol xóa tài liệu người dùng và hủy đăng ký bị rò rỉ, System Card đã từ lâu nêu rõ các rủi ro
Tỷ lệ mã nguồn AI của Coinbase tăng vọt lên hơn 95%, sau đợt sa thải vẫn tiếp tục đẩy mạnh tích hợp AI
Cảnh báo từ nhà phát triển: Grok Build đã tải lên toàn bộ thư mục home lên xAI, lộ toàn bộ khóa SSH và kho mật khẩu