Eén medewerker, één worm, de hele pijplijn

De weg naar binnen bij Suno liep via de machine van één persoon. Een hacker infecteerde een individuele medewerker met een worm die inloggegevens voor GitHub en voor de clouddiensten van het bedrijf oogstte, en bereikte van daaruit de systemen die ertoe deden. Wat naar buiten kwam was geen klantendatabase in de gewone zin, hoewel er klantgegevens van honderdduizenden klanten zijn blootgelegd, inclusief e-mailadressen en telefoonnummers, samen met betaalinformatie van Stripe. Wat naar buiten kwam was de broncode uit 2023 en 2024: de scripts die het model bouwden, en de opmerkingen die de engineers voor elkaar achterlieten terwijl ze het bouwden.

Dit is de moderne vorm van een inbraak en die verdient het om als categorie te worden begrepen en niet als incident. Niemand viel het product van Suno aan. Niemand vond een fout in het model. Iemand compromitteerde een ontwikkelaar, en de inloggegevens van een ontwikkelaar openen de repository, en de repository is waar een bedrijf het meest openhartige verslag bewaart van wat het werkelijk deed. Uw beveiligingsprogramma behandelt broncode waarschijnlijk als intellectueel eigendom dat tegen concurrenten beschermd moet worden. De duurdere lezing is dat broncode een gelijktijdig verslag is van uw beslissingen, geschreven door mensen die aannamen dat alleen collega's zouden meelezen.

Suno's weergave van de tijdlijn is het deel dat iedereen met een incidentproces zou moeten verontrusten. Het bedrijf zegt dat de inbraak plaatsvond in november 2025, dat die snel werd ingedamd, en dat er geen gevoelige persoonsgegevens zijn gecompromitteerd. Neem dat voor waar aan en het verandert niets aan de uitkomst, want het materiaal dook op in juli 2026, ruwweg acht maanden later, op het bureau van een journalist. Indamming beschrijft wat u met de aanvaller deed. Het zegt niets over de agenda van degene die de kopie in handen heeft, en die kiest de publicatiedatum, niet u.

De cijfers die de code bijhield

De specificiteit is wat dit anders maakt dan elk eerder verhaal over AI-trainingsdata. Een opmerking in één bestand somt de bronnen op die werden opgehaald: genius_hq, youtube_music, freesound, jamendo, imp, deezer, ytm_tagged. Een bestand met de naam youtube_music registreert het inlezen van 2.013.545 muziekfragmenten. Een andere reeks opmerkingen somt de datasets op naar duur: 113.879 uur youtube_music, 152.162 uur ytm_tagged, 62.117 uur pond5_music, 19.514 uur materiaal van het International Music Score Library Project, 17.615 uur genius_hq, 12.287 uur deezer, 3.726 uur jamendo, 410 uur freesound en 103 uur musescore_lyrics. De code beschrijft ook filtering om eruit te halen wat geen muziek was, en podcasts werden opgehaald via RSS-feeds.

Lees die cijfers zoals een engineer dat zou doen en ze zijn alledaags. Lees ze zoals een jurist dat zou doen en ze zijn een inventaris. Tot nu toe werd de discussie over wat AI-muzieksystemen tot zich namen gevoerd in bijvoeglijke naamwoorden. De rechthebbenden zeiden enorme hoeveelheden. De bedrijven zeiden publiek beschikbaar materiaal. Beide uitspraken zijn op een bruikbare manier onweerlegbaar, wat iedereen goed uitkwam, want over een abstractie kan men jaren twisten. Over een getal kan dat niet. Deezer is geen vage uithoek van het open internet; het is een bij naam genoemde Europese dienst met een catalogus en voorwaarden, en de code zegt 12.287 uur.

Dan is er nog de kwestie van hoe het materiaal werd bereikt. Uit de berichtgeving blijkt dat Suno mogelijk proxydiensten gebruikte om muziek van YouTube op te halen, waaronder acapellaversies van nummers, de geïsoleerde zangsporen die een model wil hebben en die een luisteraar niet zomaar tegenkomt. Proxying is een gewoon technisch antwoord op ratelimieten en blokkades. Het is een aanzienlijk minder gewoon feit wanneer de vraag die bij een rechter voorligt is of de toegang geautoriseerd was, want een proxy bestaat om een verzoek eruit te laten zien alsof het ergens vandaan kwam waar het niet vandaan kwam.

Suno is niet betrapt op liegen, en dat is erger

De verklaring van het bedrijf na de inbraak is geen terugtrekking. Suno zei dat, zoals het in openbare deponeringen en mededelingen heeft verklaard, zijn modellen getraind zijn op publiek beschikbare muziekbestanden en bijbehorende metadata die toegankelijk zijn op websites van derden op het open internet. Houd die zin naast de code en er is geen tegenspraak. YouTube Music staat op het open internet. Deezer ook, Genius ook, Jamendo ook. Het bedrijf heeft eerder gezegd dat het trainde op in wezen alle muziekbestanden van redelijke kwaliteit die toegankelijk zijn op het open internet, en heeft betoogd dat dit fair use is. Alles wat de code laat zien strookt met alles wat het bedrijf zei.

Die overeenstemming is het probleem, niet de verdediging. De publieke zin en de private opmerking beschrijven dezelfde handeling op twee verschillende resoluties, en slechts één daarvan kan aan een kruisverhoor worden onderworpen. Een rechter kan weinig met publiek beschikbare muziekbestanden. Een rechter kan heel veel met 2.013.545 fragmenten en een grootboek van uren per bron, want dat maakt van een vraag over kwalificatie een vraag over omvang, en omvang is waaruit schadevergoeding wordt berekend. Suno's juridische positie overleeft dit misschien prima. Zijn onderhandelingspositie is zojuist veranderd, want de tegenpartij hoeft de omvang van het geheel niet meer te bewijzen.

De commerciële geschiedenis rond de zaak laat precies zien wat er op het spel staat. Platenmaatschappijen klaagden Suno aan wegens inbreuk op het auteursrecht, en Warner Music Group trok zich daarna terug uit de procedure in ruil voor een licentiedeal. Dat is het verraderlijke teken. Dit geschil ging nooit richting een principiële uitspraak over machine learning en auteursrecht; het ging richting een set licenties tegen een prijs. Elk feit dat vastlegt hoeveel er van wie is genomen is een feit dat die prijs beweegt, en een gespecificeerde lijst met urentellingen is het document dat die prijs in deze hele kwestie het sterkst beweegt.

Uw repository is een getuige

Generaliseer voorbij de muziekindustrie, want het mechanisme heeft niets met muziek te maken. Elke organisatie die een model traint of finetunet heeft een pijplijn, en die pijplijn heeft bronnen, en ergens heeft een bekwame engineer opgeschreven wat die bronnen zijn en hoeveel er van elk kwam, want dat is wat bekwame engineers doen. Het kan een opmerking zijn, een datasetnaam, een configuratiebestand, een regel in een manifest. Onder normale omstandigheden is die documentatie een teken van een goed geleid systeem. Onder een rechtszaak, of onder een inbraak, is het de helderste beschikbare verklaring van wat de organisatie tot zich nam, geschreven door de organisatie zelf, in een toon die geen enkele communicatieafdeling ooit heeft nagekeken.

De kloof die ertoe doet zit tussen wat uw juristen denken dat u deed en wat uw repository vastlegt dat u deed. Die twee verslagen zijn geschreven door verschillende mensen, op verschillende momenten, voor verschillende lezers, en slechts één ervan wordt gecontroleerd voordat het naar buiten gaat. De engineer die een bucket vernoemt naar de site waarvan die is geschraapt is niet roekeloos. Die is precies, op een moment waarop niemand hem vertelde dat precisie hardop zou worden voorgelezen. Als die verslagen in uw eigen bedrijf uit elkaar zijn gegroeid, dan is een inbraak een van de manieren waarop u daarachter komt, en het is de manier waarop u het tegelijk met iedereen leert.

Niets hiervan pleit voor slechtere opmerkingen. Een engineeringcultuur die voor de eigen repository verbergt wat ze doet levert systemen op die niemand kan auditen, en dat falen kost meer dan welke rechtszaak ook. Het pleidooi is om de kloof van de andere kant te dichten: weet wat uw pijplijn heeft verwerkt, wees in staat het te benoemen in dezelfde termen als uw code het benoemt, en zorg dat de publieke zin en de private opmerking dezelfde handeling op dezelfde resolutie beschrijven. Doen ze dat, dan is een inbraak een beveiligingsincident. Doen ze dat niet, dan is het een onthulling.

Wat u hiermee doet voordat het kwartaal om is

Leg de herkomst van uw model vast zolang het nog uw eigen document is. Noteer voor elk model dat u traint, finetunet of laat bouwen uit welke bronnen de data kwam, op welke grondslag, en ruwweg hoeveel van elk. Als het moeilijk is die lijst te produceren, dan is die moeilijkheid de bevinding, en het is beter om die nu tegen te komen, in uw eigen tijd, dan tijdens een discovery-procedure of in de inbox van een journalist. De organisaties die de komende jaren goed doorkomen zijn die waarvan het antwoord op de vraag waar hebt u op getraind een document is en geen bijvoeglijk naamwoord.

Behandel ontwikkelaarsendpoints als de kroonjuwelen, want dat zijn ze. Suno raakte zijn pijplijn kwijt via de inloggegevens van één medewerker voor GitHub en clouddiensten. De maatregel die ertoe doet is geen grotere perimeter maar de schadestraal van één gecompromitteerde ontwikkelaar: phishingbestendige authenticatie op het codeplatform, kortlevende cloudinloggegevens in plaats van duurzame, en genoeg scheiding dat één machine niet het hele IT-landschap ontgrendelt. Dat is weinig glamoureus werk zonder product om te kopen, en het is het verschil tussen een incident en een inventaris.

Stop tot slot met indamming als afsluiting te zien. Suno damde in november 2025 een inbraak in en las in juli 2026 over zijn eigen broncode. Als data vertrekt, stopt de blootstellingsklok niet wanneer de indringer eruit wordt gezet; hij stopt wanneer de kopie waardeloos is, en de kopie is pas waardeloos wanneer de feiten erin er niet meer toe doen. Als u een incident hebt gehad dat is ingedamd maar waarbij data is vertrokken, dan is de eerlijke status niet gesloten. Die is lopend, en iemand anders heeft de publicatiedatum in handen.