Suno 遭駭曝底牌:原始碼寫明盜抓 YouTube 兩百萬首歌,還用代理商繞封鎖
404 Media 取得的駭客戰利品,把 AI 音樂生成公司 Suno 最不想公開的祕密攤在陽光下。代號 ellie.191 的駭客去年 11 月利用 Shai-Hulud 供應鏈蠕蟲取得一名員工的 GitHub 與雲端服務憑證,進而拿到 Suno 2023 至 2024 年的原始碼。程式碼裡的抓取清單寫得明明白白:youtube_music 資料集 113,879 小時、ytm_tagged 152,162 小時、pond5 音樂 62,117 小時、IMSLP 樂譜庫 19,514 小時、Genius 歌詞 17,615 小時、Deezer 12,287 小時,其中一個檔案記錄已吃進 2,013,545 個音樂片段。
抓取手法也有留底。程式碼顯示 Suno 透過販售爬蟲基礎設施的 Bright Data 公司租用代理伺服器,繞過 YouTube 的反爬蟲封鎖;另一段程式碼顯示公司借助 PodcastIndex 找出 42 萬個播客節目,目標是下載約 100 萬小時的播客音訊。Suno 一直拒絕透露訓練資料的來源與取得方式,唱片業三大廠 2024 年提告時只能靠輸出結果反推,如今駭客直接把內部帳本掀了。
禍不單行,駭客同時取得數十萬 Suno 用戶的個資與 Stripe 付款資訊。對正在跟環球、索尼、華納打官司的 Suno 來說,訴訟風險與資安信譽同時中彈:原始碼裡的抓取清單若被法院採信,「合理使用」抗辯的難度會直線上升。
歸剛點評:AI 圈公開的祕密終於有了白紙黑字的證據。值得注意的是揭露路徑——監管沒查出來、訴訟沒逼出來,最後靠一隻供應鏈蠕蟲把真相咬出來。台灣的音樂人和 Podcaster 可以合理懷疑自己的作品也在那幾十萬小時裡面,只是連對帳的機會都沒有。生成式 AI 的版權大戰打到現在,證據才是最稀缺的彈藥。