musiikki /
Hakkerin vuotama lähdekoodi paljastaa, mistä Suno keräsi miljoonia kappaleita tekoälynsä koulutukseen
Tekoälyllä musiikkia luovan Sunon koulutusaineistojen alkuperästä on saatu tähän asti poikkeuksellisen tarkkoja tietoja. Hakkerin 404 Medialle toimittama lähdekoodi viittaa siihen, että yhtiö keräsi internetistä vuosikymmeniä vastaavan määrän musiikkia, laulua, sanoituksia ja podcasteja.
Tekoälymusiikkipalvelu Suno on kertonut kouluttaneensa järjestelmiään kymmenillä miljoonilla internetistä löytyneillä äänitteillä. Yhtiö ei ole kuitenkaan julkisesti avannut tarkasti, mistä musiikki hankittiin tai millä menetelmillä tiedostot kerättiin.
Teknologiajulkaisu 404 Median haltuunsa saama hakkeroitu aineisto tarjoaa nyt harvinaisen yksityiskohtaisen näkymän Sunon koulutusaineistojen rakentamiseen.
404 Median toimittaja Jason Koeblerin mukaan vuosilta 2023 ja 2024 peräisin vaikuttava lähdekoodi sisältää ohjeita ja tilastoja musiikin, laulun, sanoitusten ja muun äänisisällön keräämisestä useista verkkopalveluista.
Aineistossa mainitaan muun muassa YouTube Music, Deezer, Genius, Pond5, Jamendo, Freesound, International Music Score Library Project eli IMSLP sekä podcastien RSS-syötteet.
Lähdekoodissa näkyy yli kaksi miljoonaa YouTube-leikettä
Yhdessä 404 Median tutkimassa tiedostossa Sunon YouTube Music -aineiston kerrotaan sisältäneen päivityshetkellä 2 013 545 musiikkileikettä.
Toisessa tiedostossa eri aineistojen laajuutta kuvataan tunteina. YouTube Musicista kerättyä sisältöä oli merkintöjen mukaan 113 879 tuntia ja erillisessä tunnisteilla varustetussa YouTube-aineistossa 152 162 tuntia.
Deezeristä kerättyä aineistoa oli ilmoitettu 12 287 tuntia. Genius-nimellä kuvattu aineisto sisälsi 17 615 tuntia sisältöä.
Pond5-musiikkikirjaston kohdalla määrä oli 62 117 tuntia, IMSLP-aineistossa 19 514 tuntia ja Jamendossa 3 726 tuntia. Freesoundista kerättyä ääntä oli 410 tuntia.
Lukujen perusteella pelkästään luetellut aineistot sisältävät yhteensä satojentuhansien tuntien edestä materiaalia. Kaikki koodi ei kuitenkaan välttämättä kuvaa Sunon koko koulutusaineistoa tai sitä, mitkä tiedostot lopulta päätyivät valmiiden mallien harjoittamiseen.
YouTubesta etsittiin erikseen lauluraitoja
404 Median mukaan osa lähdekoodista etsi YouTubesta erityisesti kappaleiden a cappella -versioita eli tallenteita, joissa kuullaan laulu ilman tavallista instrumentaalista säestystä.
Tällainen aineisto voisi auttaa tekoälymallia oppimaan ihmisäänen, laulutekniikan, melodioiden ja sanoitusten välisiä yhteyksiä erillään muusta musiikista.
Koodi viittaa myös siihen, että YouTube-sisällön keräämisessä käytettiin Bright Data -yhtiön välityspalvelimia ja tiedonkeruuteknologiaa. Välityspalvelimet voivat jakaa suuren latausmäärän useisiin IP-osoitteisiin ja vaikeuttaa automatisoidun keräämisen estämistä.
404 Media ei pystynyt aineiston perusteella selvittämään tarkasti, millä tavalla jokaisen palvelun teknisiä rajoituksia tai käyttöehtoja mahdollisesti ohitettiin.
Podcast-aineistoa tavoiteltiin miljoona tuntia
Suno ei vaikuta keskittyneen ainoastaan musiikkikappaleisiin. Hakkeroidun koodin mukaan yhtiö kartoitti PodcastIndex-palvelun avulla noin 420 000 podcastia, joissa oli vähintään viisi puolen tunnin mittaista jaksoa.
Tavoitteena oli 404 Median mukaan ladata noin miljoona tuntia podcast-ääntä.
Puheaineistoa voidaan käyttää esimerkiksi äänen, kielen, lausumisen ja puhujien ominaisuuksien mallintamiseen. Suno tunnetaan ensisijaisesti laulujen luomisesta, mutta sen järjestelmän on ymmärrettävä myös kieltä ja ihmisäänen rakennetta.
Koodi ei yksin osoita, että koko suunniteltu miljoonan tunnin aineisto todella ladattiin tai käytettiin mallin kouluttamiseen.
Maksullisen Pond5-kirjaston käyttö herättää kysymyksiä
Lähdeluettelon yksi kiinnostavimmista nimistä on Shutterstockin omistama Pond5. Se tarjoaa maksullista musiikkia, äänitehosteita, videoita ja muuta tuotantoaineistoa.
Asiakkaat ostavat sisältöihin yksittäisiä lisenssejä tai käyttävät tilausta, johon kuuluu rajallinen määrä latauksia. 404 Median näkemät tilastot viittaavat siihen, että Sunon aineistossa oli huomattava määrä Pond5:n musiikkia.
Tavallisesti musiikkilisenssi antaa oikeuden käyttää kappaletta esimerkiksi videossa, mainoksessa tai muussa sovitussa tuotannossa. Se ei välttämättä sisällä oikeutta kopioida koko kirjastoa kaupallisen tekoälymallin kouluttamiseen.
Aineistosta ei käy ilmi, oliko Sunolla erillisiä sopimuksia Pond5:n tai muiden mainittujen palvelujen kanssa.
Genius tuo mukaan myös sanoitukset ja musiikin kuvailun
Genius tunnetaan erityisesti kappaleiden sanoituksista, niiden selityksistä ja musiikkiin liittyvästä metadatasta. Palvelu ei tavallisesti isännöi kokonaisia musiikkitiedostoja itse, vaan voi välittää näytteitä tai Apple Musicin kautta tarjottavaa kuuntelua.
Sanoitukset ja tekstimuotoiset kuvaukset ovat generatiiviselle musiikkimallille tärkeitä. Niiden avulla järjestelmä voi oppia yhdistämään esimerkiksi musiikkityylin, tunnelman, rakenteen ja tekstissä esiintyvät käsitteet tietynlaiseen ääneen.
404 Median tutkimassa koodissa Genius mainitaan yhtenä keskeisistä aineistolähteistä. Tarkka keräysmenetelmä ei kuitenkaan selvinnyt vuodetusta materiaalista.
Suno on jo myöntänyt käyttäneensä tekijänoikeudella suojattua musiikkia
Paljastus ei ole ensimmäinen vahvistus sille, että Sunon järjestelmiä on koulutettu kaupallisella ja tekijänoikeudella suojatulla musiikilla.
Suno kertoi vuonna 2024 oikeudelle, että sen koulutusaineisto sisältää käytännössä kaikki kohtuullisen laadukkaat musiikkitiedostot, jotka olivat yhtiön mukaan avoimesta internetistä saavutettavissa.
Yhtiö kuvaili käyttäneensä kymmeniä miljoonia eri musiikkityylejä edustavia äänitteitä sekä niihin liittyviä tekstikuvauksia.
Suno ei siis ole puolustautunut väittämällä, ettei sen koulutusaineistossa olisi levy-yhtiöiden omistamaa musiikkia. Yhtiön oikeudellinen kanta on ollut, että aineiston käyttäminen tekoälyn kouluttamiseen voi kuulua Yhdysvaltain tekijänoikeuslain salliman kohtuullisen käytön piiriin.
Levy-yhtiöt syyttivät Sunoa YouTube-videoiden kopioimisesta
Universal Music Groupin, Sony Musicin ja Warner Musicin puolesta toimiva Recording Industry Association of America eli RIAA haastoi Sunon ja kilpailevan Udion oikeuteen vuonna 2024.
RIAA:n mukaan yhtiöt kopioivat valtavia määriä suojattuja äänitteitä ilman artistien ja oikeudenhaltijoiden lupaa.
Vuonna 2025 levy-yhtiöt täydensivät Sunoa koskevaa kannetta väitteillä YouTuben niin sanotusta stream ripping -kopioinnista. Väitteiden mukaan Suno käytti koodia YouTuben suojausten kiertämiseen ja teki suoratoistettavista kappaleista ladattavia kopioita.
404 Media katsoo hakkeroidun lähdekoodin vahvistavan, että YouTube oli merkittävä Sunon käyttämän aineiston lähde. Oikeudellinen kysymys siitä, oliko kerääminen tekijänoikeuslain tai teknisten suojausten kiertämistä koskevien sääntöjen vastaista, ratkaistaan kuitenkin oikeusprosesseissa.
Osa levy-yhtiöistä on jo tehnyt sopimuksen Sunon kanssa
Tekoälymusiikin oikeudellinen tilanne on muuttunut alkuperäisten kanteiden jälkeen. Warner Music sopi kiistansa Sunon kanssa vuonna 2025 ja ilmoitti samalla lisensoidusta yhteistyöstä.
Universal Musicin oikeusjuttu Sunoa vastaan on edelleen käynnissä, ja Sony Music ei ole tehnyt vastaavaa sopimusta Sunon tai Udion kanssa.
Kesäkuussa 2026 muusikoiden ammattiliitto American Federation of Musicians haastoi puolestaan Warnerin ja Universalin oikeuteen. Liiton mukaan levy-yhtiöt antoivat tekoäly-yhtiöille oikeuksia muusikoiden esityksiin ilman asianmukaista lupaa tai korvausta soittajille.
Kiista ei siis enää kulje ainoastaan teknologiayhtiöiden ja levy-yhtiöiden välillä. Myös artistit, studiomuusikot, kustantajat ja sanoittajat vaativat osuuttaan mahdollisista tekoälylisensseistä.
Hakkeri väittää päässeensä myös käyttäjätietoihin
Koulutusaineiston lisäksi tapaus nostaa esiin Sunon asiakkaiden tietoturvan.
ellie.191-nimeä käyttävä hakkeri kertoi 404 Medialle murtautuneensa Sunon järjestelmiin saastuttamalla yksittäisen työntekijän ympäristön Shai-Hulud-nimisellä toimitusketjuhyökkäyksellä.
Hakkerin mukaan hyökkäys antoi pääsyn GitHub- ja pilvipalvelutunnuksiin. Hän väittää saaneensa haltuunsa satojentuhansien asiakkaiden tietoja, kuten sähköpostiosoitteita, puhelinnumeroita ja Stripe-maksupalveluun liittyviä tietoja.
404 Media kertoo saaneensa näytteen käyttäjätiedoista. Osa näytteessä olleista ihmisistä vahvisti käyttäneensä samaa puhelinnumeroa Sunoon rekisteröityessään.
Suno kiistää arkaluonteisten henkilötietojen vaarantuneen
Suno vahvisti 404 Medialle havainneensa marraskuussa 2025 rajallisen tietoturvapoikkeaman, joka yhtiön mukaan saatiin nopeasti hallintaan.
Yhtiö kertoo tapauksen koskeneen pääasiassa vanhentunutta lähdekoodia, jota ei enää käytetä Sunon toiminnassa. Sunon mukaan arkaluonteisia henkilötietoja ei vaarantunut.
Yhtiö korostaa myös, ettei sillä ole pääsyä asiakkaiden täydellisiin luottokorttinumeroihin Stripe-palvelussa.
Suno katsoi mahdollisesti paljastuneiden asiakastietojen olleen niin rajallisia, etteivät yksittäiset ilmoitukset käyttäjille olleet sovellettavien tietosuojalakien perusteella tarpeen.
Hakkerin ja yhtiön kuvaukset tietomurron laajuudesta ovat siis osittain ristiriidassa. 404 Median julkaisemien tietojen perusteella ei voida varmistaa, kuinka monen käyttäjän tiedot päätyivät ulkopuoliselle tai mitä kaikkia Stripe-tietoja hakkeri pystyi näkemään.
Vanhakin lähdekoodi voi paljastaa toimintatavan
Sunon mukaan vuotanut koodi oli vanhentunutta. Se ei silti tee materiaalista merkityksetöntä, sillä vuosien 2023 ja 2024 koodi voi kertoa siitä, miten yhtiön ensimmäiset laajasti käytetyt mallit ja aineistot rakennettiin.
Nykyisten Suno-mallien koulutuksessa voidaan käyttää eri aineistoja, lisenssejä ja menetelmiä. Vuotanut materiaali ei sellaisenaan todista, että sama kerääminen jatkuisi vuonna 2026.
Se osoittaa kuitenkin 404 Median mukaan, että palvelun kehityksen alkuvaiheessa aineistoa hankittiin hyvin laajasti useista musiikki-, sanoitus-, ääni- ja podcast-palveluista.
Suno sanoo tavoittelevansa alkuperäistä musiikkia
Suno puolustaa toimintaansa sillä, ettei sen tarkoituksena ole kopioida olemassa olevia kappaleita tai artisteja.
Yhtiön edustaja kertoi 404 Medialle: ”Tavoitteenamme on aina ollut auttaa ihmisiä luomaan uutta ja alkuperäistä musiikkia, ei jäljentää jonkun muun työtä.”
Sunon mukaan se ei käytä artistien nimiä koulutusmetadatassa tyyliluokkina. Palvelussa on lisäksi suojauksia, joiden tarkoituksena on estää tunnettujen esiintyjien jäljittelyä ja muuta väärinkäyttöä.
Kriitikot katsovat, ettei lopputulosten alkuperäisyys yksin ratkaise sitä, oliko koulutusaineiston kopioiminen laillista. Suno puolestaan vertaa mallien oppimista ihmisten tapaan tutustua olemassa olevaan musiikkiin ja luoda sen pohjalta jotakin uutta.
Paljastus tekee tekoälyn näkymättömästä raaka-aineesta näkyvää
Generatiivisen tekoälyn koulutusaineistot ovat yleensä tarkoin varjeltuja liikesalaisuuksia. Artistin on siksi vaikea tietää, onko hänen kappaleensa kopioitu jonkin palvelun järjestelmiin.
404 Median julkaisema aineisto ei sisällä täydellistä ja varmistettua luetteloa kaikista Sunon käyttämistä kappaleista. Se tarjoaa kuitenkin tähän asti tarkimman näkymän siihen, millaisessa mittakaavassa ja mistä verkkopalveluista sisältöä mahdollisesti kerättiin.
Tapaus yhdistää kaksi tekoälyalan keskeistä ongelmaa: tekijänoikeuksien epäselvän aseman ja suurten aineistojen puutteellisen läpinäkyvyyden.
Samalla tietomurto muistuttaa, että tekoälypalvelut säilyttävät koulutusmateriaalien lisäksi suuren määrän käyttäjä-, maksu- ja luovaa sisältöä koskevaa tietoa. Yhtiöiden on pystyttävä suojaamaan sekä toimintansa lähdekoodi että palveluihin luottavien asiakkaiden tiedot.