Un attacco informatico ha esposto il codice sorgente di Suno, tra le principali piattaforme di generazione musicale con l'IA, rivelando in dettaglio senza precedenti da dove l'azienda abbia attinto per anni l'audio con cui ha addestrato i suoi modelli. I documenti, ottenuti e analizzati dai giornalisti di 404 Media, sono emersi tra il 16 e il 17 luglio 2026 e rischiano di diventare materiale probatorio nelle cause per violazione del diritto d'autore che riguardano l'IA musicale.

Secondo quanto riferito, l'autore dell'intrusione — che si presenta con lo pseudonimo "ellie.191" — avrebbe avuto accesso ai sistemi di Suno infettando il computer di un dipendente con il worm Shai-Hulud, diffuso attraverso pacchetti npm compromessi, sottraendo credenziali, token e chiavi di accesso.

Il codice trafugato elenca le fonti da cui Suno avrebbe scaricato l'audio per addestrare i suoi modelli musicali.

Quali fonti sono finite nel codice sorgente

Il materiale trafugato conterrebbe istruzioni e log per il download di audio da diverse piattaforme di streaming. I volumi indicati sono ingenti: 113.879 ore da YouTube Music, 17.615 ore da Genius, 12.287 ore da Deezer e altre 152.162 ore da una fonte cifrata come "ytm_tagged", presumibilmente un ulteriore insieme di materiale etichettato proveniente da YouTube. Il codice elencherebbe anche altri archivi utilizzati per alimentare il modello: Pond5, Jamendo, Freesound, l'International Music Score Library Project (IMSLP) e feed RSS di podcast.

Se confermato, il quadro descriverebbe una raccolta massiccia tramite tecniche di "stream ripping" — l'estrazione di tracce dai servizi di streaming — senza che gli utenti di quelle piattaforme fossero avvisati.

La risposta di Suno e i dati degli utenti

Un portavoce di Suno ha dichiarato che l'azienda aveva rilevato un "incidente di sicurezza limitato" gia' nel novembre 2025, che sarebbe stato "rapidamente contenuto". Secondo la societa', la fuga riguarderebbe codice sorgente ormai obsoleto e non piu' utilizzato nei prodotti attuali, e non sarebbero stati compromessi dati personali sensibili.

L'autore dell'attacco sostiene invece di aver ottenuto informazioni su centinaia di migliaia di utenti, inclusi indirizzi email, numeri di telefono e dati collegati ai pagamenti tramite Stripe. Le due versioni, al momento, restano difficili da conciliare.

Le major discografiche hanno gia' avviato cause contro le piattaforme di IA musicale: i documenti trafugati potrebbero pesare in tribunale.

Perche' la vicenda pesa sulle cause per copyright

Suno e' gia' al centro di contenziosi legali promossi dall'industria discografica, che accusa le societa' di IA musicale di aver addestrato i modelli su brani protetti senza licenza. Finora un nodo cruciale di questi processi e' stato proprio dimostrare quali contenuti fossero stati usati e come. Documenti interni che elencano fonti, volumi e metodi di raccolta, se autenticati, potrebbero cambiare l'equilibrio della disputa, rafforzando la posizione di chi sostiene che l'addestramento non ricada nel "fair use".

Cosa dovrebbero fare gli utenti di Suno

Al di la' della disputa legale, chi usa Suno ha motivi pratici per alzare la guardia. Se davvero l'attaccante ha ottenuto indirizzi email, numeri di telefono e dati collegati a Stripe, il rischio immediato e' quello delle campagne di phishing mirate: messaggi che imitano comunicazioni ufficiali della piattaforma per carpire password o dati di pagamento. Le raccomandazioni sono quelle di sempre, ma valgono doppio in questi casi: attivare l'autenticazione a due fattori dove disponibile, diffidare di email che chiedono con urgenza di "verificare l'account" e controllare gli estratti conto legati ai pagamenti in abbonamento.

La vicenda ha anche una lettura piu' ampia sulla sicurezza informatica: l'attacco sarebbe partito da un worm che si propaga tramite pacchetti open source compromessi, un vettore sempre piu' sfruttato che mette a rischio la catena di fornitura del software su cui poggia gran parte dell'industria dell'IA. Non e' un problema del solo Suno: quasi tutte le aziende tecnologiche costruiscono i propri prodotti su migliaia di dipendenze open source, e basta che una di queste venga compromessa perche' il rischio si propaghi a valle. E' una delle ragioni per cui la sicurezza della supply chain del software e' diventata una priorita' anche per i laboratori di IA.