Ein Datenleck hat interne Quellcodes des KI-Musikdienstes Suno offengelegt, die dessen Trainingsdatenbeschaffung dokumentieren. Aus den Dateien geht laut 404 Media hervor, dass mehr als zwei Millionen Clips von YouTube Music sowie Inhalte von Deezer, Genius und weiteren Anbietern extrahiert wurden. Betroffen waren zudem persönliche Daten von Kundinnen und Kunden.
Quellcode zeigt systematisches Scraping mehrerer Plattformen
Der von 404 Media veröffentlichte Code stammt aus den Jahren 2023 und 2024 und enthält detaillierte Anweisungen zur Datensammlung. Interne Kommentare listen Plattform-Tags wie „youtube_music”, „deezer”, „genius_hq” und „jamendo” auf, ergänzt um den Hinweis, dass Nicht-Musik-Inhalte automatisch herausgefiltert würden. Allein von YouTube Music erfasste Suno demnach mehr als zwei Millionen Clips mit einer Gesamtlänge von rund 113.000 Stunden. Hinzu kommen 12.287 Stunden von Deezer, mehr als 17.000 Stunden von Genius sowie über 62.000 Stunden von der Stock-Plattform Pond5. Auch das Notenarchiv IMSLP und der Liedtext-Dienst MuseScore tauchen in den Listen auf. Diese Zahlen stammen aus dem gehackten Code und sind unabhängig nicht verifiziert.
Nach Angaben von TechCrunch verschaffte sich der Angreifer über eine Schadsoftware namens „Shai-Hulud” Zugang zu Zugangsdaten eines Mitarbeiters und darüber zum Quellcode. Der Code deutet zudem auf einen Versuch hin, über RSS-Feeds rund 420.000 Podcasts einzusammeln. Die Dateien widersprechen damit früheren Aussagen des Unternehmens, wonach zahlungspflichtige und geschützte Inhalte von der Datensammlung ausgenommen worden seien.
Suno bestätigt Sicherheitsvorfall bei Kundendaten
Suno bestätigte gegenüber TechCrunch einen Sicherheitsvorfall: Es habe sich um einen begrenzten, rasch eingedämmten Zwischenfall gehandelt. Nach dem Einbruch waren demnach auch Kontaktdaten von mehreren hunderttausend Kundinnen und Kunden einsehbar, darunter E-Mail-Adressen, Telefonnummern und Teile hinterlegter Zahlungsdaten aus dem Abrechnungssystem Stripe.
Der Zugriff auf die Systeme reicht bereits bis November 2025 zurück. Kundinnen und Kunden seien damals nicht gezielt über den Vorfall informiert worden. Erst die Veröffentlichung des Quellcodes durch 404 Media Mitte Juli 2026 machte das Ausmaß öffentlich. Das wirft zusätzliche Fragen zur Informationspolitik des Unternehmens auf, unabhängig von der eigentlichen Scraping-Praxis.
Die für den Einbruch verantwortliche Schadsoftware Shai-Hulud verbreitet sich typischerweise über kompromittierte npm-Pakete und hatte in den vergangenen Monaten bereits mehrere Technologieunternehmen getroffen. Wie viele der betroffenen Kundinnen und Kunden aus Europa stammen, teilte Suno nicht mit. Auch zur genauen Zahl der insgesamt eingesehenen Datensätze und zum aktuellen Stand interner Untersuchungen machte das Unternehmen bislang keine näheren Angaben.
Enthüllter Code befeuert Suno-Urheberrechtsklagen
Suno steht bereits seit 2024 wegen mutmaßlicher Urheberrechtsverletzungen vor Gericht. Universal Music Group und Sony Music klagen gemeinsam und warfen dem Unternehmen zunächst das Training an 560 geschützten Werken vor. Die Klageschrift wurde inzwischen auf mehr als 61.000 zusätzliche Songs ausgeweitet. Suno verteidigt sich mit Verweis auf die in den USA geltende Fair-Use-Doktrin für das Training von Modellen.
Warner Music Group einigte sich im November 2025 mit Suno und schloss stattdessen eine Lizenzvereinbarung. Das Musiklabel Jamendo reichte Ende Juni eine eigene Klage ein und fordert rund 17,8 Millionen Euro Schadenersatz. Der nun bekannt gewordene Quellcode dokumentiert erstmals im Detail, welche Plattformen konkret betroffen waren, und könnte damit in den laufenden Verfahren als zusätzliches Beweismaterial dienen.
Entscheidend wird, ob die Gerichte den gehackten Code überhaupt als Beweismittel zulassen und wie Suno die Diskrepanz zwischen eigenen Aussagen und den internen Dokumenten erklärt. Offen bleibt zudem, ob auch konkurrierende KI-Musikdienste wie Udio unter verschärfte Beobachtung geraten, nachdem ähnliche Vorwürfe bereits gegen sie erhoben wurden.


