Un dipendente, un worm, l'intera pipeline
La via d'ingresso in Suno è stata la macchina di una sola persona. Un hacker ha infettato un singolo dipendente con un worm che ha raccolto le credenziali per GitHub e per i servizi cloud dell'azienda, e da lì ha raggiunto i sistemi che contavano. Ciò che è uscito non è stato un database clienti nel senso ordinario, benché siano stati esposti centinaia di migliaia di record di clienti, inclusi indirizzi email e numeri di telefono, insieme alle informazioni di pagamento Stripe. Ciò che è uscito è il codice sorgente del 2023 e del 2024: gli script che hanno costruito il modello, e i commenti che gli ingegneri si sono lasciati a vicenda mentre lo costruivano.
Questa è la forma moderna di una violazione e merita di essere capita come una categoria e non come un incidente. Nessuno ha attaccato il prodotto di Suno. Nessuno ha trovato una falla nel modello. Qualcuno ha compromesso uno sviluppatore, e le credenziali di uno sviluppatore aprono il repository, e il repository è dove un'azienda tiene il resoconto più schietto di ciò che ha fatto davvero. Il vostro programma di sicurezza probabilmente tratta il codice sorgente come proprietà intellettuale da proteggere dai concorrenti. La lettura più costosa è che il codice sorgente è un verbale in tempo reale delle vostre decisioni, scritto da persone che davano per scontato che gli unici lettori sarebbero stati i colleghi.
Il racconto di Suno sulla cronologia è la parte che dovrebbe inquietare chiunque gestisca un processo di risposta agli incidenti. L'azienda dice che l'intrusione è avvenuta nel novembre 2025, che è stata contenuta rapidamente e che nessuna informazione personale sensibile è stata compromessa. Prendetelo per buono e non cambia nulla sull'esito, perché il materiale è emerso nel luglio 2026, circa otto mesi dopo, sulla scrivania di un giornalista. Il contenimento descrive ciò che avete fatto all'attaccante. Non dice nulla sul calendario di chi tiene la copia, ed è lui a scegliere la data di pubblicazione, non voi.
I numeri che il codice custodiva
La specificità è ciò che rende questo caso diverso da ogni storia precedente sui dati di addestramento dell'AI. Un commento in un file elenca le fonti che venivano prelevate: genius_hq, youtube_music, freesound, jamendo, imp, deezer, ytm_tagged. Un file chiamato youtube_music registra l'ingestione di 2.013.545 clip musicali. Un altro gruppo di commenti enumera i dataset per durata: 113.879 ore di youtube_music, 152.162 ore di ytm_tagged, 62.117 ore di pond5_music, 19.514 ore di materiale dell'International Music Score Library Project, 17.615 ore di genius_hq, 12.287 ore di deezer, 3.726 ore di jamendo, 410 ore di freesound e 103 ore di musescore_lyrics. Il codice descrive anche un filtraggio per eliminare ciò che non era musica, e i podcast venivano prelevati tramite feed RSS.
Leggete quelle cifre come le leggerebbe un ingegnere e sono banali. Leggetele come le leggerebbe un avvocato e sono un inventario. Finora la discussione su cosa avessero consumato i sistemi musicali di AI si è svolta con gli aggettivi. I titolari dei diritti dicevano quantità enormi. Le aziende dicevano materiale pubblicamente disponibile. Entrambe le affermazioni sono infalsificabili in un modo utile, il che faceva comodo a tutti, perché su un'astrazione si può discutere per anni. Su un numero non si può. Deezer non è un angolo vago dell'internet aperta; è un servizio europeo con un nome, un catalogo e dei termini, e il codice dice 12.287 ore.
C'è poi la questione di come il materiale sia stato raggiunto. Le ricostruzioni indicano che Suno potrebbe aver usato servizi proxy per prelevare musica da YouTube, incluse versioni a cappella dei brani, ossia le tracce vocali isolate che un modello vorrebbe e che un ascoltatore non troverebbe per caso. Il proxy è una risposta ingegneristica ordinaria ai limiti di frequenza e ai blocchi. È un fatto considerevolmente meno ordinario quando la domanda davanti a un tribunale è se l'accesso fosse autorizzato, perché un proxy esiste per far sembrare che una richiesta arrivi da dove non arrivava.
Suno non è stata colta a mentire, il che è peggio
La dichiarazione dell'azienda dopo la violazione non è una ritrattazione. Suno ha detto che, come ha già affermato in documenti e comunicazioni pubbliche, i suoi modelli sono stati addestrati su file musicali pubblicamente disponibili e sui relativi metadati accessibili su siti di terze parti sull'internet aperta. Mettete quella frase accanto al codice e non c'è contraddizione. YouTube Music è sull'internet aperta. Lo è anche Deezer, lo è Genius, lo è Jamendo. L'azienda in passato ha detto di aver addestrato su sostanzialmente tutti i file musicali di qualità ragionevole accessibili sull'internet aperta, e ha sostenuto che ciò costituisce fair use. Tutto ciò che il codice mostra è coerente con tutto ciò che l'azienda ha detto.
Quella coerenza è il problema, non la difesa. La frase pubblica e il commento privato descrivono lo stesso atto a due risoluzioni diverse, e solo uno dei due può essere sottoposto a controinterrogatorio. Un giudice non può fare molto con file musicali pubblicamente disponibili. Un giudice può fare moltissimo con 2.013.545 clip e un registro delle ore fonte per fonte, perché questo converte una questione di qualificazione in una questione di scala, e la scala è ciò da cui si calcolano i danni. La posizione giuridica di Suno può benissimo reggere. La sua posizione negoziale è appena cambiata, perché la controparte non deve più dimostrare la dimensione della cosa.
La storia commerciale attorno al caso mostra esattamente cosa è in gioco. Le case discografiche hanno citato Suno per violazione del diritto d'autore, e Warner Music Group si è poi ritirata dall'azione in cambio di un accordo di licenza. Questo è il segnale rivelatore. Questa disputa non è mai stata diretta verso una pronuncia di principio su machine learning e diritto d'autore; era diretta verso un insieme di licenze a un prezzo. Ogni fatto che inchioda quanto è stato preso e a chi è un fatto che muove quel prezzo, e un elenco dettagliato con i conteggi delle ore è il documento che muove il prezzo più di ogni altro nell'intera vicenda.
Il vostro repository è un testimone
Generalizzate oltre l'industria musicale, perché il meccanismo non ha nulla a che fare con la musica. Qualsiasi organizzazione che addestra o mette a punto un modello ha una pipeline, e quella pipeline ha delle fonti, e da qualche parte un ingegnere competente ha messo per iscritto quali sono quelle fonti e quanto è arrivato da ciascuna, perché è ciò che fanno gli ingegneri competenti. Può essere un commento, il nome di un dataset, un file di configurazione, una riga in un manifest. In condizioni normali quella documentazione è il segno di un sistema ben gestito. Sotto una causa, o sotto una violazione, è la dichiarazione più chiara disponibile di ciò che l'organizzazione ha ingerito, scritta dall'organizzazione stessa, in un tono che nessun ufficio comunicazione ha mai rivisto.
Il divario che conta è quello tra ciò che i vostri avvocati credono che abbiate fatto e ciò che il vostro repository registra che avete fatto. Quei due resoconti sono scritti da persone diverse, in momenti diversi, per pubblici diversi, e solo uno dei due viene controllato prima di uscire. L'ingegnere che battezza un bucket con il nome del sito da cui ha fatto scraping non è avventato. È preciso, in un momento in cui nessuno gli ha detto che la precisione sarebbe stata letta ad alta voce. Se nella vostra azienda quei due resoconti si sono allontanati, una violazione è uno dei diversi modi in cui lo scoprite, ed è quello in cui lo imparate nello stesso momento di tutti gli altri.
Nulla di tutto questo è un argomento per scrivere commenti peggiori. Una cultura ingegneristica che nasconde al proprio repository ciò che sta facendo produce sistemi che nessuno può verificare, e quel fallimento costa più di qualsiasi causa. L'argomento è chiudere il divario dall'altro capo: sapere cosa ha consumato la vostra pipeline, essere in grado di dirlo negli stessi termini in cui lo dice il vostro codice, e assicurarsi che la frase pubblica e il commento privato descrivano lo stesso atto alla stessa risoluzione. Se è così, una violazione è un incidente di sicurezza. Se non è così, è una divulgazione.
Cosa farne prima della fine del trimestre
Mettete per iscritto la provenienza del vostro modello finché è ancora il vostro documento. Per ogni modello che addestrate, mettete a punto o commissionate, registrate da quali fonti sono arrivati i dati, a quale titolo, e all'incirca quanto per ciascuna. Se produrre quell'elenco è difficile, quella difficoltà è il rilievo, ed è meglio affrontarla ora, con i vostri tempi, che durante la fase istruttoria o nella casella di posta di un giornalista. Le organizzazioni che gestiranno bene i prossimi anni sono quelle la cui risposta alla domanda su cosa avete addestrato è un documento e non un aggettivo.
Trattate gli endpoint degli sviluppatori come i gioielli della corona, perché lo sono. Suno ha perso la sua pipeline attraverso le credenziali GitHub e cloud di un solo dipendente. Il controllo che conta non è un perimetro più grande ma il raggio d'impatto di un singolo sviluppatore compromesso: autenticazione resistente al phishing sulla piattaforma di codice, credenziali cloud di breve durata invece che durature, e separazione sufficiente perché una sola macchina non apra l'intero parco sistemi. È un lavoro poco vistoso senza un prodotto da comprare, ed è la differenza tra un incidente e un inventario.
Infine, smettete di trattare il contenimento come una chiusura. Suno ha contenuto un'intrusione nel novembre 2025 e ha letto del proprio codice sorgente nel luglio 2026. Quando i dati escono, l'orologio dell'esposizione non si ferma quando l'intruso viene cacciato; si ferma quando la copia non vale nulla, e la copia non vale nulla solo quando i fatti al suo interno non contano più. Se avete avuto un incidente che è stato contenuto ma in cui i dati sono usciti, lo stato onesto non è chiuso. È in sospeso, e la data di uscita la tiene qualcun altro.
Da leggere ora: TfL non ha pagato alcun riscatto e ha perso comunque 29 milioni | Un solo commit non è una traccia di audit



