Un pirate affirme avoir accédé aux scripts internes que Suno utilise pour construire ses bases d'entraînement musical. Les documents transmis à 404 Media détaillent les plateformes ciblées, les volumes collectés, et confirment l'accès à des données clients.

Le pirate, qui se présente sous le pseudonyme ellie.191, a partagé avec 404 Media du code source daté de 2023 et 2024. Ces fichiers précisent comment la plateforme de génération musicale par IA a constitué ses données d'entraînement, alors que l'entreprise fait déjà face à plusieurs procédures pour violation du droit d'auteur.
Le ver Shai-Hulud à l'origine d'un accès aux scripts de collecte
L'accès initial a été obtenu grâce à Shai-Hulud, un ver informatique qui cible la chaîne d'approvisionnement logicielle. Ce type d'attaque consiste à infecter des composants utilisés par les développeurs afin de récupérer, à leur insu, des identifiants de connexion aux services qu'ils utilisent. Le pirate explique avoir ainsi mis la main sur ceux d'un employé de Suno. Cela aurait permis de lui donner une porte d'entrée vers des comptes GitHub et des services cloud de l'entreprise.
Le code récupéré détaille les sources d'entraînement. Des commentaires citent sept origines : genius_hq, youtube_music, freesound, jamendo, imslp, deezer et ytm_tagged, en filtrant les contenus non musicaux. Un fichier consacré à YouTube Music évoque 2 013 545 extraits ingérés. Un second fichier liste des volumes en heures. Il mentionne 113 879 heures pour youtube_music, 17 615 heures pour genius_hq, 12 287 heures pour deezer et 62 117 heures pour la bibliothèque Pond5. Des volumes plus réduits apparaissent aussi pour jamendo, freesound et la bibliothèque de partitions IMSLP. D'autres extraits montrent que Suno recherchait spécifiquement des versions a cappella sur YouTube. Suno semble donc s'être gavé de plusieurs décennies de musique.
Cette collecte illégale et automatisée, appelée "scraping", passait par des serveurs proxy fournis par la société Bright Data. Le proxy permet de masquer l'origine des requêtes envoyées à la plateforme, ce qui complique donc le blocage pour YouTube. Par ailleurs, le code montre que l'entreprise a effectué un travail similaire sur les podcasts via l'outil PodcastIndex. Suno avait repéré 420 000 podcasts d'au moins cinq épisodes de 30 minutes, avec l'objectif d'en récupérer environ un million d'heures.
Le pirate affirme avoir aussi consulté la liste des clients de SunO. Cela représente plusieurs centaines de milliers de comptes, avec emails et/ou numéros de téléphone selon le cas, ainsi que des données de paiement Stripe. Dans une déclaration à 404 Media, Suno évoque un incident de sécurité limité identifié en novembre 2025. Celui-ci a été rapidement contenu, et, selon l'entreprise, ne portait que sur du code ancien inutilisé, sans compromission de données personnelles sensibles. Suno précise ne pas avoir accès aux numéros complets de cartes bancaires via Stripe et n'a notifié aucun client, jugeant les informations trop limitées pour l'exiger.
Nous apprenions en juin 2024 que Suno faisait déjà l'objet d'une plainte des trois majors du disque pour utilisation de leurs catalogues sans autorisation. Dans ce cadre, Suno avait reconnu avoir entraîné ses modèles sur la quasi-totalité des fichiers musicaux accessibles en ligne.