Suno遭黑客入侵 原始碼揭露繞過保護大量爬取YouTube版權音樂
AI音樂生成器Suno驚傳被黑客入侵!最新流出嘅原始碼揭露,Suno涉嫌大規模爬取YouTube Music同Deezer等平台數以百萬計嘅音樂數據嚟做AI訓練。黑客仲攞到數十萬用戶嘅Email、電話同部分信用卡資料。雖然Suno官方證實咗呢次入侵,但就話只係「有限度安全事件」,所以當時冇特別通知用戶。
AI音樂工具Suno爆安全漏洞 原始碼揭露大量爬取YouTube版權音樂
AI 音樂生成領域嘅當紅工具 Suno,最近被揭發遭到黑客入侵。根據外媒 404 Media 嘅最新報導,有黑客成功竊取咗 Suno 嘅系統原始碼同埋用戶數據。呢次事件最受矚目嘅地方,在於外流嘅代碼直接揭示咗 Suno 點樣喺網上大規模收集同埋「爬取」(scrape)數以百萬計嘅版權歌曲,用嚟訓練佢哋嘅 AI 系統。呢個消息再次將 AI 訓練數據嘅版權爭議推上風口浪尖。

供應鏈攻擊揭開數據庫內幕
據悉,呢次入侵發生喺2025年11月。化名為「ellie.191」嘅黑客向媒體透露,佢當時利用咗「供應鏈攻擊」嘅方式,成功獲取咗一名 Suno 員工嘅登入憑證,進而存取咗公司喺 GitHub 同埋雲端服務嘅內部數據。
流出嘅原始碼揭露,Suno 涉嫌長期由 YouTube Music、Deezer、Genius 同埋多個 stock music(庫存音樂)圖庫度,大量爬取音樂同埋歌詞。外流資料顯示,單單係一個叫做「youtube_music」嘅資料夾,就已經有超過200萬段音樂片段。另外亦有超過17,000小時來自 Genius 嘅音訊、12,000小時來自 Deezer 嘅音樂。更嚴重嘅係,為咗避開 YouTube 設下嘅防爬蟲保護機制,Suno 懷疑使用咗代理伺服器(proxy)服務將數據偷偷運走,當中甚至包括歌曲嘅純人聲(acapella)版本。除咗音樂之外,代碼亦顯示佢哋透過 RSS 訂閱源,嘗試下載咗數十萬個 Podcast 節目嚟做訓練。
用戶隱私同金流資料同告失守
除咗用作訓練 AI 嘅代碼之外,黑客亦都攞到咗 Suno 嘅客戶名單。呢份名單涉及數十萬名用戶,入面記錄咗用戶嘅電子郵件地址、電話號碼,以及儲存喺金流服務平台 Stripe 入面嘅部分信用卡號碼。
雖然 Suno 方面事後發表聲明,澄清佢哋並冇權限去存取用戶喺 Stripe 系統入面完整嘅信用卡資料,所以用戶嘅交易安全未有受到全面威脅。不過,大批用戶嘅電郵同電話外洩,依然帶嚟咗不小嘅網絡安全隱患,例如容易成為釣魚電郵或者垃圾短訊嘅目標。
"As we have stated in public filings and disclosures, Suno's AI models have been trained on publicly available music files and related metadata accessible on third-party websites on the open Internet. In November of 2025, we determined that Suno had been the subject of a limited security incident that was quickly contained. At the time, we immediately conducted an investigation and verified that the incident primarily involved outdated source code that is no longer in use at Suno and that no sensitive personal information was compromised. Importantly, Suno does not have access to customers' full credit card numbers in Stripe.
Based on the limited nature of the customer information believed to be involved, we determined that individual notifications were not warranted under applicable privacy laws." – Suno聲明
法律爭議與官方嘅低調應對
呢次安全漏洞曝光,無疑係為 Suno 正在面對嘅版權官司火上加油。早前,美國幾間大型唱片公司已經聯手起訴 Suno 侵犯版權。雖然 Suno 喺過往嘅法庭文件入面,承認過有喺網上抓取「數以千萬計嘅錄音」,但佢哋當時抗辯話呢種做法符合版權法入面嘅「合理使用」原則。
然而,唱片公司指出,蓄意繞過 YouTube 嘅防護機制去爬取數據,呢個行為本身就已經涉嫌違反咗美國嘅《數碼千禧年版權法》(DMCA),同時亦嚴重違反咗 YouTube 嘅用戶條款。
對於呢次黑客入侵,Suno 官方喺回覆媒體查詢時證實咗事件,但就將佢定位為「一次受到快速控制嘅有限度安全事件」。佢哋解釋,事件主要涉及一啲已經停用嘅舊原始碼,並指「冇敏感嘅個人資料受到損害」。正因為咁,Suno 評估過後,認為無需要根據相關私隱法例去向受影響嘅用戶發出個別通知。
總結
呢次 Suno 數據外洩事件,揭示出生成式 AI 產業背後嘅兩大痛點:數據來源嘅合法性,同埋初創企業嘅網絡安全防禦力。當各大 AI 工具都依賴海量網絡數據去完善系統時,點樣平衡版權、開發進度同埋用戶資料安全,將會係業界未來必須正視嘅難題。對於一般用家嚟講,使用呢類新興 AI 服務時,亦需要更加提防個人私隱外洩嘅風險。