跳至主要內容
FAQ

Suno 資安漏洞曝光工業級 YouTube 爬取:逾 200 萬首歌曲、代理繞防,AI 音樂著作權風暴來襲

AI 音樂新創公司 Suno 在 2025 年 11 月遭入侵的事件,披露了其透過代理服務規避 YouTube 防爬機制、爬取逾 200 萬首音樂片段的事實。這一發現大幅強化了各大唱片公司對 Suno 的訴訟立場,也讓 AI 音樂模型的訓練數據問題浮上檯面。

1 分鐘閱讀

一起七個多月未予公開的資安事件,已演變成生成式 AI 短暫歷史中影響最深遠的洩漏案之一。透過 2025 年 11 月對 Suno 的駭客攻擊所獲取的原始碼,揭示了這家儘管面臨多起訴訟仍成功融資 4 億美元的 AI 音樂新創,其背後是透過爬取 YouTube Music、Deezer、Genius、音樂素材庫以及播客 RSS feed 等來源的大量音訊來訓練其模型的。而為了規避 YouTube 的自動防爬機制,Suno 將採集作業路由到商業代理服務 Bright Data 上。

從外洩程式碼所揭露的數字來看,規模之大令人咋舌。據 404 Media 的報導,一個名為「youtube_music」的資料集記錄了 2,013,545 首音樂片段被納入 Suno 的訓練流程,另有分開計算的資料集顯示,標記為「YouTube Music」的來源累計 113,879 小時,標記為「ytm_tagged」的則達 152,162 小時——帶有元數據標籤的做法,顯示這是一項有系統、有組織的採集行動,而非隨機爬取。

訴訟格局的轉變

環球音樂(Universal Music Group)和新力音樂(Sony Music)等唱片公司自 2024 年中即開始對 Suno 提起著作權侵權訴訟。Suno 以「合理使用」原則作為抗辯——這也是 OpenAI、Stability AI 等 AI 公司普遍援引的法律理論,主張在未取得授權的情況下以版權素材進行訓練屬於合法使用。

然而,這份外洩的原始碼讓這一辯護立場大幅動搖。《數位千禧年著作權法》(DMCA)不僅禁止侵權行為,也明確禁止故意規避權利人為保護其著作所部署的技術防護措施。YouTube 的防爬系統,在大多數合理的法律解讀下,正構成此類技術保護措施。透過將採集作業路由至 Bright Data 代理網絡、專門為了繞過這些系統,Suno 的工程師看來做出了 DMCA 反規避條款明確禁止的行為——無論其關於訓練數據合理使用的論點是否成立。

追蹤 AI 著作權訴訟的法律專家認為,這次洩漏具有潛在的決定性意義。如果原告能在法庭上引入這份原始碼作為證據,他們將取得罕見的直接文件佐證,同時涵蓋採集規模和故意規避技術保護措施兩個要素——這兩點在沒有內部記錄的情況下通常難以舉證。

駭客入侵的經過

攻擊者以「ellie.191」的名義,透過一種名為 Shai-Hulud 的惡意軟體進行供應鏈攻擊,這種蠕蟲程式專門從開發人員的機器上竊取 GitHub 憑證和雲端服務登入資訊。取得某位員工的憑證後,攻擊者得以進入 Suno 的原始碼儲存庫和用戶資料。

用戶資料的外洩是此次事件的另一個重要面向。攻擊者獲取了數十萬 Suno 用戶的記錄,包括電子郵件地址、電話號碼以及透過 Stripe 處理的部分支付資訊。Suno 將這起 11 月的事件定性為「一起已迅速遏制的有限安全事件」——而這一表述,距離公司通知受影響用戶或向公眾披露這起事件,已是原始碼出現在媒體報導後、將近八個月之後的事。

不立即披露此次事件的決定,本身可能觸發各州資料外洩通知法的法律責任。這些法律通常要求公司在發現事件後的特定期間內——通常為 30 至 60 天——通知受影響人員。適用於服務加州居民企業的《加州消費者隱私法》(CPRA)亦有相關規定,可能因延遲通知而使 Suno 面臨額外罰則。

Udio 與行業模式

Suno 並非個案。其主要競爭對手 Udio 同樣面臨平行訴訟中的類似指控。這兩家公司已共同成為一個核心問題的代理戰場:在未取得授權的情況下以版權內容訓練大型生成模型,是否構成侵權?而在人類創意再利用時代所制定的合理使用原則,是否能合乎邏輯地適用於工業規模的自動化爬取?

Suno 洩漏事件與一般 AI 著作權訴訟模式的根本差異,在於其鑑識上的高度具體性。多數 AI 著作權案件的戰場在於「產出」——生成的歌曲或圖像是否與版權原著實質相似,這個標準舉證困難。而外洩的原始碼把戰場搬到了「投入」端:爬取了哪些平台、採集了多少小時的音訊、採取了哪些技術手段以規避偵測,這些都有直接文件可循。

這種證據類型的轉變至關重要,因為相較於裁決 AI 訓練在多大程度上類似人類學習這類抽象問題,法院在援引 DMCA 技術條款審查規避行為上,通常展現出更大的意願。

披露問題

從 2025 年 11 月事件發生到 2026 年 7 月公開披露,這長達八個月的時間差,引發了外界對 AI 新創公司問責規範的嚴肅質疑。Suno 在一段時間內完成了 4 億美元的融資,而在這段融資期間,公司實際上已在內部處置了一起涉及用戶資料外洩及可能引發法律責任的原始碼外流事件。

在盡職調查、融資談判或持續的公司治理程序中,投資人、董事會成員或監管機構是否被告知了此次事件的全貌,目前的報導尚未釐清。Suno 至今未就披露時間線進行公開說明,僅重申將事件定性為「有限事件」。

對整個 AI 音樂產業而言,此次事件帶來的教訓令人不安:生成式 AI 的底層架構——程式碼、數據管線、訓練集——在法律上的脆弱程度,可能遠超建立在其上的產品所呈現的那種光鮮外表。對用戶而言,此次事件則是一個提醒:AI 領域的新創公司正在採集和處理大量敏感數據,而規範這些行為的法律框架,尚未跟上它們已建立起來的一切。

Suno AI 音樂 著作權 YouTube DMCA 資料爬取 資安
分享