Vint Cerf apoia o protocolo DNSid para padronizar agentes de IA na internet
O pioneiro da internet Vint Cerf assume conselho da Innovation Labs para criar o DNSid, nova arquitetura que usa DNS para auditar e identificar agentes de IA.
Invasão cibernética revela que IA musical Suno treinou modelos de forma oculta usando dados do YouTube Music, Deezer e omitiu vazamento de dados no Stripe.
No dia 15 de julho de 2026, uma reportagem de Amanda Silberling publicada no TechCrunch revelou que a Suno, a popular plataforma de inteligência artificial generativa para criação de música, sofreu um grande ataque cibernético. A informação foi originalmente reportada pelo veículo 404 Media, revelando que um invasor utilizou um ataque de cadeia de suprimentos (supply chain attack) para roubar as credenciais de acesso de um funcionário da empresa. Com as credenciais em mãos, o hacker acessou o código-fonte proprietário da Suno, obtendo evidências técnicas de que a ferramenta realizou de forma oculta e sistemática a raspagem (scraping) de décadas de áudio de serviços populares como o YouTube Music, o Deezer, o site de metadados Genius, além de bibliotecas de músicas de estoque (stock music libraries) e feeds RSS de podcasts.

O comprometimento dos sistemas da Suno joga nova luz sobre a feroz batalha legal que a startup enfrenta contra as maiores gravadoras da indústria fonográfica mundial. Anteriormente, a Suno havia admitido que treina seus modelos de inteligência artificial em "arquivos de música publicamente disponíveis" (publicly available music files) espalhados pela internet livre. A empresa sempre sustentou a tese de que esse treinamento de redes neurais com obras protegidas é amparado pela doutrina de uso aceitável (fair use), um mecanismo subjetivo da lei de direitos autorais dos Estados Unidos. Contudo, o código-fonte exposto pelo hacker sugere que a startup contornou de forma intencional as barreiras técnicas contra cópia de dados impostas pelo YouTube, controlada do Google, o que viola os termos de serviço e as diretrizes de propriedade intelectual da plataforma de vídeos.
Além de expor os detalhes confidenciais sobre como o modelo de linguagem musical foi alimentado, a invasão aos servidores da Suno resultou no vazamento direto de dados pessoais de seus próprios clientes. O hacker informou à 404 Media que obteve acesso a informações sigilosas de faturamento armazenadas na Stripe, uma das maiores plataformas de processamento de pagamentos digitais do mundo. O banco de dados comprometido inclui os endereços de e-mail de usuários, números de telefone móvel de contato e dados parciais de cartões de crédito associados às assinaturas pagas. Esse vazamento de segurança ocorreu originalmente em novembro de 2025, mas a Suno optou por não divulgar o incidente de segurança a seus clientes por mais de seis meses, afirmando internamente que o ocorrido foi apenas um "incidente de segurança limitado que foi rapidamente contido" (
limited security incident that was quickly contained).
A exploração cibernética contra os sistemas internos da Suno, conforme analisado pela jornalista Amanda Silberling na reportagem original do TechCrunch, foi categorizada tecnicamente como um ataque à cadeia de suprimentos (supply chain attack). Essa modalidade de crime digital consiste em identificar elos vulneráveis em fornecedores, bibliotecas de código ou credenciais de funcionários para obter acesso de administrador à infraestrutura central da empresa-alvo. Ao se infiltrar por meio das credenciais comprometidas de um colaborador da Suno, o hacker obteve privilégios extraordinários que permitiram a cópia de dados proprietários, revelando como a infraestrutura técnica das startups de inteligência artificial de ponta pode ser vulnerável à engenharia social e à má gestão de acessos de segurança compartilhados com o público na reportagem da 404 Media.
Para empresas e profissionais de tecnologia, a invasão sofrida pela Suno destaca a importância crítica da segurança da informação na era dos serviços em nuvem integrados. A startup utiliza a infraestrutura de pagamentos da Stripe para processar as assinaturas de seus usuários, e a interceptação de dados de faturamento a partir de uma vulnerabilidade corporativa em novembro de 2025 acende um alerta sobre como a centralização de dados sensíveis pode ampliar o raio de destruição de um ataque hacker. O fato de o invasor ter conseguido transitar entre repositórios de código-fonte de treinamento de inteligência artificial e informações financeiras da Stripe reforça a necessidade urgente de adoção de arquiteturas de segurança do tipo Zero Trust, onde o comprometimento de uma única credencial de funcionário não concede acesso livre a outros sistemas vitais do ecossistema de negócios.
A análise feita a partir do código exposto pelo ataque hacker à Suno desmistifica a narrativa pública de que as ferramentas de geração de música por inteligência artificial são construídas a partir de dados coletados de maneira ética e consensual. O invasor que forneceu as informações confidenciais à equipe de redação da 404 Media documentou de forma minuciosa como os scripts de raspagem automatizada varriam e indexavam dados de plataformas europeias como o Deezer e o indexador de letras Genius. O acesso ao código-fonte provou que a startup contava com um fluxo de coleta de dados contínuo, alimentado por scripts que rodavam em segundo plano para extrair conteúdo de áudio comercial sem qualquer tipo de licenciamento formal ou autorização prévia dos detentores de direitos dessas obras.
O processo automatizado de raspagem de dados (data scraping) utilizado pela Suno, detalhado pelo hacker em reportagem de Amanda Silberling, expõe a gigantesca escala de consumo de conteúdo exigida para a criação de modelos de inteligência artificial generativa de alta qualidade. De acordo com as evidências de código obtidas, a plataforma realizou a coleta massiva e direcionada de áudio a partir de serviços consolidados como o YouTube Music, a plataforma de streaming Deezer, o site Genius, além de diversas bibliotecas de música de estoque (stock music libraries) e feeds RSS de podcasts (podcast RSS feeds) disponíveis na rede. Esse volume monumental de dados, englobando décadas de produção artística em áudio e texto, serviu de insumo básico para calibrar as redes neurais da Suno, permitindo que a IA gerasse músicas completas com vocais, instrumentação e letras realistas.
A inclusão de feeds RSS de podcasts e de bibliotecas de trilhas sonoras comerciais (stock music libraries) no banco de dados de treinamento da Suno afeta diretamente criadores independentes e pequenos produtores de conteúdo, muitos deles baseados no Brasil. Os feeds de podcast utilizam uma arquitetura aberta baseada em arquivos XML para distribuição gratuita aos ouvintes, mas isso não confere às empresas de tecnologia o direito de baixar esses arquivos em massa para treinar sistemas proprietários comerciais. A revelação trazida a público pela 404 Media demonstra que a coleta foi indiscriminada, ignorando licenças comerciais específicas de bibliotecas de efeitos e áudios de estoque, as quais são protegidas por leis autorais internacionais e dependem de licenciamento pago por uso de cada trilha sonora.
A infraestrutura de proteção do YouTube e os termos de uso de sua plataforma de vídeos expressamente proíbem a utilização de mecanismos automatizados para extrair e fazer o download de arquivos de áudio e vídeo de seus servidores para finalidades comerciais externas. Quando a Suno e outras ferramentas concorrentes contornam ativamente essas defesas cibernéticas para alimentar seus geradores de música, cria-se uma situação de concorrência desleal com as próprias plataformas que investem milhões de dólares anualmente na manutenção de servidores, largura de banda e proteção de dados. Esse tipo de extração de dados hostil não apenas consome recursos de infraestrutura de terceiros, mas também reutiliza produções artísticas sem recompensar os criadores originais que publicam seus vídeos no YouTube.
O cerne da disputa que coloca a Suno no foco das atenções das grandes gravadoras baseia-se na aplicação de conceitos de propriedade intelectual na era dos modelos de IA generativa. Em sua defesa oficial, a Suno argumenta que o treinamento de modelos a partir de "arquivos de música publicamente disponíveis" (publicly available music files) é amparado pela doutrina do fair use (uso aceitável). Esse dispositivo da legislação americana de direitos autorais permite o uso limitado de material protegido sem autorização prévia, desde que o novo uso seja considerado altamente transformativo e não prejudique o mercado econômico do produto original. A startup alega que suas canções geradas por IA são obras inteiramente novas e matemáticas, não configurando cópia direta das canções utilizadas para treinar seus sistemas neurais.
Por outro lado, o consórcio de gravadoras que move ações judiciais ativas contra a Suno defende que a conduta da startup viola frontalmente as determinações da Lei de Direitos Autorais do Milênio Digital (DMCA). As gravadoras sustentam que o ato deliberado de burlar os mecanismos anti-scraping e os sistemas de proteção do YouTube constitui uma infração clara à lei americana. De acordo com a acusação amparada na DMCA, o ato de contornar proteções digitais para baixar arquivos em massa invalida qualquer argumento de fair use, uma vez que a empresa de tecnologia teria agido de má-fé ao hackear ou fraudar as defesas de perímetro de terceiros para obter os dados necessários para o seu modelo de inteligência artificial generativa comercial.
Para o ecossistema brasileiro de tecnologia e direitos autorais, a revelação desse escândalo fornece um parâmetro crucial para o debate regulatório em asilo no Congresso Nacional. A legislação brasileira (Lei de Direitos Autorais - Lei nº 9.610/1998) é reconhecidamente mais rígida do que a legislação dos Estados Unidos, pois não adota o conceito aberto de fair use, aplicando apenas limitações estritas e exaustivas para o uso de obras de terceiros. A confirmação de que a Suno utilizou ferramentas de scraping contra o YouTube Music, o Deezer e o portal Genius sem autorização expressa dos detentores dos direitos pode criar precedentes legais que inviabilizam o uso de tais modelos generativos em território brasileiro, caso fiquem comprovadas as infrações à propriedade intelectual de artistas e gravadoras locais presentes nesses catálogos de streaming.
A denúncia de violação de direitos autorais e coleta não autorizada de dados musicais não se limita à Suno, alcançando também outras startups que atuam no concorrido mercado de IA de áudio generativo. A Udio, principal concorrente direta da Suno no segmento de geração musical de alta fidelidade, enfrenta acusações bastante similares das gravadoras, que alegam que seu modelo também foi inteiramente alimentado com material raspado ilegalmente da plataforma do YouTube. Essa agressiva corrida de inteligência artificial entre as startups demonstra que a indústria de áudio generativo foi construída com base em um alto apetite por risco legal, no qual as empresas preferiram lançar suas tecnologias de forma acelerada antes que as leis de copyright fossem adaptadas à nova realidade tecnológica.
Por trás de toda essa engrenagem de dados está o Google, empresa proprietária do YouTube, que assume um papel duplo e contraditório nessa complexa disputa de patentes e dados de treinamento. Enquanto o YouTube é a principal vítima de scraping por parte da Suno e da Udio, o próprio Google é alvo de grandes disputas legais por supostas infrações de direitos autorais em outros campos de atuação da inteligência artificial. Atualmente, uma série de importantes editoras de livros move ações judiciais contra o Google sob alegações de que a gigante da tecnologia utilizou obras literárias protegidas por direitos autorais, sem autorização ou compensação financeira, para realizar o treinamento de seus próprios modelos avançados de linguagem natural e inteligência artificial de texto.
Essa teia de acusações que envolve gigantes como o Google, as editoras de livros e as startups concorrentes Suno e Udio expõe a fragilidade estrutural da revolução da inteligência artificial generativa. A disputa nos tribunais sobre a legalidade da raspagem de dados sob as regras da DMCA tem o potencial de paralisar o desenvolvimento dessas ferramentas ou, no mínimo, forçar uma mudança drástica no ecossistema financeiro das startups de tecnologia. Se as gravadoras e editoras vencerem essas disputas, empresas como a Suno e a Udio serão obrigadas a fechar contratos bilaterais de licenciamento com detentores de direitos e plataformas de streaming como a Deezer para conseguir dados de treinamento legítimos, o que limitará o avanço vertiginoso dos modelos de geração de mídia gratuita na internet aberta.
Muito além das complexas discussões sobre propriedade intelectual e raspagem de dados musicais de serviços como o YouTube Music, a invasão exposta pelo veículo investigativo 404 Media traz sérias consequências de cibersegurança e privacidade de dados para os consumidores. Ao realizar o ataque de cadeia de suprimentos por meio de credenciais de um funcionário corporativo, o hacker obteve acesso aos repositórios confidenciais que se comunicavam com a plataforma financeira da Stripe. Essa vulnerabilidade colocou em risco a integridade financeira e a privacidade de milhares de usuários pagantes que utilizavam os planos de assinatura recorrentes oferecidos pela Suno.
As informações expostas no vazamento de segurança na Stripe abrangem detalhes confidenciais de faturamento, incluindo endereços de correio eletrônico corporativo e pessoal de clientes, números de telefone celulares de contato e dados parciais de cartões de crédito dos usuários assinantes da Suno. O hacker que realizou o ataque informou que esses dados de faturamento estavam expostos desde novembro de 2025. Ao ocultar esse vazamento do público por tantos meses, a startup deixou seus usuários vulneráveis a táticas de engenharia social direcionadas, como golpes de phishing financeiro baseados nos dados parciais de seus cartões de crédito e informações de contato vazadas dos servidores de pagamento, descritas pela repórter Amanda Silberling.
A postura da Suno de abafar o ocorrido sob a justificativa de tratar-se de um "incidente de segurança limitado que foi rapidamente contido" (
limited security incident that was quickly contained) contradiz os princípios fundamentais das regulamentações globais de proteção de dados e privacidade. No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD) prevê punições rigorosas para empresas que omitem vazamentos de dados que tragam risco relevante para a privacidade dos usuários, exigindo a notificação imediata às autoridades competentes e aos clientes afetados. A revelação desse incidente trazida pela jornalista Amanda Silberling mostra que a preocupação da startup em evitar danos à sua reputação de mercado enquanto enfrentava os processos de gravadoras pelo scraping no YouTube Music e na Deezer falou mais alto do que o dever ético de garantir a integridade dos dados dos consumidores que viabilizavam financeiramente o funcionamento da ferramenta de inteligência artificial, colocando em risco a privacidade de contas hospedadas sob os sistemas da Stripe desde novembro de 2025.
O pioneiro da internet Vint Cerf assume conselho da Innovation Labs para criar o DNSid, nova arquitetura que usa DNS para auditar e identificar agentes de IA.
Miles Wang negocia captação de US$ 200 milhões para aplicar inteligência artificial da OpenAI no reposicionamento de medicamentos aprovados pela FDA.
Fundadores de sucesso como Tom Blomfield e Mike Krieger trocam cargos executivos e conselhos de administração por funções técnicas na Anthropic e startups de IA.