Innhold Vis
Hvis du har lurt på hva Suno trente AI-musikken sin på, har en lekkasje gitt det hittil tydeligste svaret. Interne filer viser at selskapet hentet millioner av musikkfiler og sangtekster fra blant annet YouTube Music, Deezer og Genius.
At Suno trente på store mengder opphavsrettsbeskyttet musikk, er ikke helt nytt. Selskapet har allerede erkjent i retten at modellen ble vist titalls millioner innspillinger. Det nye er at filene navngir kildene, beskriver verktøyene og setter tall på deler av innsamlingen.
Det gjør saken viktigere enn enda en runde med anklager fra musikkbransjen. Her får vi et sjeldent innblikk i hvordan en av de største AI-musikktjenestene faktisk bygget treningsgrunnlaget sitt. Samtidig avdekket innbruddet opplysninger om Suno-kunder. Det er to forskjellige problemer, og begge fortjener mer enn en skuldertrekning.
Hva viser de lekkede Suno-filene?
Filene viser kildekode fra 2023 og 2024 med instruksjoner for å samle lyd og tekst fra flere nettjenester. Ifølge den opprinnelige gjennomgangen hos 404 Media var YouTube Music, Deezer, Genius, Pond5, Jamendo, Freesound og International Music Score Library Project blant de navngitte kildene.
Én fil oppga at 2 013 545 klipp fra YouTube Music var hentet inn da filen sist ble oppdatert. Andre kommentarer beskrev 113 879 timer fra YouTube Music, 12 287 timer fra Deezer og 17 615 timer fra en samling kalt «genius_hq». I tillegg kom 62 117 timer fra Pond5, 19 514 timer fra IMSLP og mindre samlinger fra Jamendo, Freesound og MuseScore.
Det er viktig å lese tallene riktig. De viser omfanget av navngitte datasett i eldre intern kode, men de er ikke en fullstendig innholdsfortegnelse for Sunos nyeste modell. De forteller heller ikke at hvert eneste klipp nødvendigvis ble brukt likt i hver treningsrunde. Likevel er mer enn to millioner YouTube Music-klipp ganske langt unna en vag formulering om «offentlig tilgjengelige filer».
Hvordan samlet Suno inn musikken?
Koden tyder på at innsamlingen var systematisk, ikke bare en liste med tilfeldige lenker. The Verge beskriver instruksjoner for å hente lyd fra de ulike tjenestene, filtrere bort innhold som ikke var musikk og lete etter a cappella-versjoner for å få tak i vokal uten instrumenter.
For YouTube skal kode også ha pekt mot Bright Data, et selskap som tilbyr proxy-infrastruktur og verktøy for web scraping. En proxy kan fordele forespørsler over mange IP-adresser, noe som gjør storstilt innsamling enklere enn om alt kommer fra én server. Dette sier noe om metoden, men ikke i seg selv om den juridiske vurderingen.
Podcast-lyd var også interessant. Lekket kode viser ifølge The Verge at Suno ønsket å laste ned omtrent én million timer med podkaster via PodcastIndex. Det er et godt eksempel på hvor bredt treningsarbeidet gikk: musikk, tekster, vokalspor, noter, stock-lyd og tale.
Var dette allerede kjent?
Delvis. Suno svarte i en rettssak i august 2024 at den nevrale modellen var bygget ved å bli vist titalls millioner forskjellige innspillinger fra offentlig tilgjengelige kilder. I Sunos eget rettsdokument på 36 sider argumenterte selskapet for at analysen ga modellen statistisk kunnskap om lyd, og at denne bruken var lovlig etter den amerikanske fair use-doktrinen.
Plateselskapene har et helt annet syn. De hevder at Suno kopierte vernede innspillinger uten lisens og brukte dem til å lage et produkt som konkurrerer med originalene. En senere klage påsto også at musikken ble hentet fra YouTube gjennom «stream ripping», altså ved å lage permanente kopier fra en tjeneste som i utgangspunktet er laget for strømming.
Lekkasjen avgjør ikke rettssaken. Koden og mappen med navnet «youtube_music» støtter påstanden om hvor materialet kom fra og hvordan innsamlingen ble organisert, men en domstol må fortsatt vurdere om kopieringen var lovlig, om tekniske sperrer ble omgått og hvilke rettigheter som faktisk ble krenket. Sunos fair use-argument er et juridisk forsvar, ikke en ferdig dom.
Forskjellen fra før er åpenheten. I juni 2026 forsøkte Suno fortsatt å holde det totale antallet treningsfiler hemmelig fordi tallet kunne skade selskapet kommersielt. UMG og Sony ba retten avvise hemmeligholdet, etter at de hadde bedt om å legge 61 026 flere innspillinger til saken. Nå har en hacker gitt offentligheten deler av innsynet Suno ikke ønsket å gi frivillig.
Hva sier Suno om lekkasjen?
Suno sier modellene er trent på offentlig tilgjengelige musikkfiler og tilhørende metadata fra tredjepartsnettsteder på det åpne internettet. Det er i tråd med selskapets tidligere forsvar, men uttalelsen svarer ikke på hvorfor de enkelte tjenestene ble valgt, hvilke avtaler som fantes eller hvordan tekniske begrensninger ble håndtert.
Selskapet sier også at det oppdaget sikkerhetshendelsen i november 2025, undersøkte den umiddelbart og raskt fikk kontroll. Ifølge Suno dreide hendelsen seg hovedsakelig om utdatert kildekode som ikke lenger var i bruk, og ingen sensitive personopplysninger skal ha blitt kompromittert.
Hackeren og 404 Media beskriver et bredere bilde. De fikk tilgang til e-postadresser, telefonnumre og betalingsrelaterte Stripe-opplysninger, og enkelte kunder bekreftet at opplysningene tilhørte dem. Suno understreker at selskapet ikke har tilgang til komplette kortnumre i Stripe, og sier at omfanget ikke utløste krav om individuell varsling.
Det er altså uenighet både om hvor følsomme kundeopplysningene var og om brukerne burde ha fått beskjed. At 404 Media kontaktet personer som bekreftet kundeforholdet, gjør det vanskelig å avfeie alt som tomme hackerpåstander. Samtidig er «betalingsopplysninger» ikke det samme som at komplette kortnumre lå åpne. Presisjon er ekstra viktig når en sikkerhetshendelse omtales.
Hva betyr dette for deg som bruker Suno?
Lekkasjen betyr ikke at sangene du lager med Suno plutselig er kopier av bestemte YouTube-klipp. Generative modeller lærer mønstre fra store datasett, og én ferdig sang kan ikke uten videre spores tilbake til én treningsfil. Men saken øker usikkerheten rundt grunnlaget modellen ble bygget på.
For en hobbybruker er den mest konkrete risikoen knyttet til kundedataene. Hvis du var Suno-kunde da hendelsen ble oppdaget i november 2025, er det fornuftig å være ekstra oppmerksom på falske e-poster og meldinger som utgir seg for å komme fra Suno eller en betalingstjeneste. Suno sier at komplette kortnumre ikke var tilgjengelige, men det skader ikke å følge med på kontoutskriften.
For virksomheter og profesjonelle utgivelser er treningsdata bare én del av vurderingen. Du må også se på gjeldende bruksvilkår, rettighetene til eget materiale, distribusjonskrav og risikoen for at en generert låt ligger for tett på eksisterende musikk. Verken et betalt abonnement eller en API-regning er et magisk juridisk frikort.
Suno er samtidig mer enn en leketøy-app. Tjenesten hadde allerede passert to millioner betalende abonnenter og 300 millioner dollar i årlige abonnementsinntekter da jeg skrev om veksten og veien videre for Suno. Når et selskap er blitt så stort, holder det ikke lenger å gjemme treningsgrunnlaget bak formuleringer som «det åpne internettet».
Hvorfor Sunos treningsdata fortsatt betyr noe
Debatten blir ofte redusert til to ytterpunkter: Enten er all AI-trening tyveri, eller så er alt som kan åpnes i en nettleser fritt vilt. Virkeligheten er mer krevende. Offentlig tilgjengelig betyr ikke automatisk uten opphavsrett, og en ulovlig kopi blir ikke nødvendigvis lovlig bare fordi sluttproduktet er en modell.
Samtidig er det heller ikke gitt at enhver analyse av opphavsrettsbeskyttet materiale er forbudt. Det er nettopp derfor rettssakene betyr noe. De må skille mellom innsamling, midlertidige og permanente kopier, omgåelse av tekniske sperrer, selve modelltreningen og hva modellen senere produserer. Å slå alt sammen til ett moralsk slagord gjør ingen klokere.
For Suno er det vanskeligste spørsmålet nå tillit. Selskapet har argumentert for at treningen er lovlig, men samtidig behandlet detaljer om datagrunnlaget som en forretningshemmelighet. Lekkasjen viser over 113 000 timer fra én navngitt kilde og mer enn to millioner klipp i én samling. Det er konkrete fakta brukere, musikere og kunder burde fått på en ryddigere måte enn gjennom et datainnbrudd.
Jeg liker AI-musikk og muligheten den gir vanlige mennesker til å skape noe som tidligere krevde studio, musikere og mye penger. Nettopp derfor er dette viktig. Et godt produkt blir ikke dårligere av ærlige svar om hva det er bygget på. Hemmeligholdet er derimot bensin på bålet hver gang en ny fil, rettssak eller lekkasje dukker opp.
Suno har også vist at AI-musikk kan bli mer konsekvent, blant annet med funksjoner som lar en stemme følge flere låter og sjangre. Jeg har tidligere forklart hvordan Suno Voice Personas fungerer. Teknologien blir stadig mer nyttig. Da må åpenheten rundt data og sikkerhet vokse i samme tempo.
Ofte stilte spørsmål
Hvor mange YouTube Music-klipp skal Suno ha samlet inn?
En lekket intern fil oppga 2 013 545 klipp fra YouTube Music da filen sist ble oppdatert. Tallet gjelder en navngitt samling i eldre kode og bør ikke leses som en fullstendig oversikt over alle treningsdata eller Sunos nyeste modell.
Er det bevist at Sunos AI-trening var ulovlig?
Nei. Suno har erkjent trening på opphavsrettsbeskyttede innspillinger, men mener bruken er lovlig etter amerikansk fair use. Plateselskapene bestrider dette og har også anklaget selskapet for ulovlig stream ripping. Domstolene må avgjøre de juridiske spørsmålene.
Ble Suno-kunders kortnumre lekket?
Suno sier selskapet ikke har tilgang til komplette kortnumre hos Stripe. Hackeren fikk ifølge 404 Media tilgang til e-postadresser, telefonnumre og enkelte betalingsrelaterte opplysninger. Det er derfor mer presist å si at kunde- og Stripe-data ble berørt enn at komplette kortnumre ble lekket.
Kan jeg fortsatt bruke musikk jeg lager med Suno?
Lekkasjen endrer ikke automatisk rettighetene til en bestemt sang. Bruken avhenger fortsatt av Sunos gjeldende vilkår, abonnementstype, distribusjonskrav og om resultatet krenker andres rettigheter. Profesjonelle utgivelser bør vurderes konkret, ikke bare ut fra at sangen er AI-generert.