Muzyk przyznał się do oszustwa streamingowego wartego 10 mln dolarów. Boty AI napędzały fałszywe tantiemy

Wprowadzenie do problemu / definicja

Manipulacja streamingiem to rodzaj oszustwa polegającego na sztucznym zawyżaniu liczby odtworzeń w serwisach muzycznych, aby uzyskać nienależne tantiemy. Najnowsza sprawa ze Stanów Zjednoczonych pokazuje, iż proceder ten może być dziś skalowany przy użyciu generatywnej sztucznej inteligencji, botów oraz infrastruktury chmurowej.

W centrum postępowania znalazł się amerykański muzyk Michael Smith, który przyznał się do udziału w zmowie mającej na celu wyłudzenie wypłat z platform streamingowych. Według śledczych schemat miał wygenerować ponad 10 mln dolarów nieuprawnionych przychodów.

W skrócie

• Michael Smith przyznał się do udziału w oszustwie streamingowym opartym na automatyzacji i treściach generowanych przez AI.
• Mechanizm obejmował publikowanie ogromnej liczby utworów oraz ich masowe odtwarzanie przez zautomatyzowane konta.
• Prokuratura szacuje skalę nienależnych wypłat na ponad 10 mln dolarów.
• Oskarżony zgodził się także na przepadek mienia o wartości przekraczającej 8 mln dolarów.
• Sprawa pokazuje, iż fraud ekonomiczny coraz częściej staje się pełnoprawnym problemem cyberbezpieczeństwa.

Kontekst / historia

Z ustaleń śledczych wynika, iż proceder miał trwać od około 2017 do 2024 roku. W tym czasie wykorzystywano model rozliczeń, w którym wpływy z puli przychodów platform są dzielone proporcjonalnie do liczby odtworzeń. Oznacza to, iż sztucznie generowany ruch nie tworzy nowej wartości, ale odbiera część środków legalnym artystom i właścicielom praw.

Sprawa stała się szerzej znana już w 2024 roku, gdy ujawniono zarzuty dotyczące wieloletniego zawyżania statystyk w popularnych usługach streamingowych. W marcu 2026 roku prokuratura poinformowała, iż oskarżony przyznał się do winy, co nadało sprawie nowy wymiar i potwierdziło wcześniejsze ustalenia śledczych.

Analiza techniczna

Z technicznego punktu widzenia schemat opierał się na trzech filarach: masowym wytwarzaniu treści, budowie zaplecza kont oraz automatyzacji odtworzeń. Najpierw pozyskiwano bardzo dużą liczbę utworów wygenerowanych przez AI. Taki model działania pozwalał rozproszyć odtworzenia pomiędzy wiele plików audio i ograniczać ryzyko wykrycia anomalii na poziomie pojedynczego utworu.

Kolejnym etapem było tworzenie i utrzymywanie rozbudowanej infrastruktury kont. Śledczy opisali użycie tysięcy adresów e-mail, fikcyjnych tożsamości oraz planów rodzinnych, które obniżały koszt utrzymywania wielu użytkowników jednocześnie. Według materiałów procesowych w niektórych okresach aktywnych mogło być choćby 10 tys. kont wykorzystywanych do generowania ruchu.

Kluczową rolę odgrywała automatyzacja. Do odtwarzania muzyki miały być używane usługi chmurowe, maszyny wirtualne, przeglądarkowe odtwarzacze internetowe oraz zmodyfikowane makra uruchamiające kolejne sesje. W praktyce oznaczało to zdolność do generowania ogromnej liczby odtworzeń przy relatywnie niskim koszcie operacyjnym.

W opisie sprawy pojawia się również wykorzystanie sieci VPN i technik maskowania źródła ruchu. Tego typu rozwiązania miały utrudniać powiązanie aktywności z jednym operatorem oraz sprawiać wrażenie bardziej organicznego, rozproszonego zachowania użytkowników. To wzorzec dobrze znany z oszustw reklamowych, afiliacyjnych i innych kampanii nadużyć opartych na botach.

Konsekwencje / ryzyko

Najbardziej oczywistą konsekwencją są straty finansowe dla rynku muzycznego. Fałszywe odtworzenia przechwytują środki, które w normalnym modelu rozliczeń powinny trafić do legalnych twórców, wydawców i posiadaczy praw. W tym sensie oszustwo nie tylko generuje fikcyjne przychody dla sprawcy, ale też uszczupla wynagrodzenie uczciwych uczestników rynku.

Z perspektywy cyberbezpieczeństwa i trust & safety sprawa pokazuje, iż platformy cyfrowe są narażone na coraz bardziej złożone nadużycia biznesowe. Generatywna AI obniża koszt tworzenia masowych katalogów treści, a chmura i automatyzacja umożliwiają szybkie skalowanie ataku. Podobne schematy mogą dotyczyć nie tylko streamingu muzyki, ale też reklamy cyfrowej, platform wideo, marketplace’ów treści i programów partnerskich.

Dodatkowym ryzykiem jest trudność wykrywania takiego ruchu. Boty korzystające z prawdziwych przeglądarek, wielu kont, rozproszonej infrastruktury oraz odpowiednio zaplanowanych harmonogramów aktywności mogą przez długi czas pozostawać poniżej progów alarmowych. To oznacza, iż klasyczne mechanizmy filtrowania anomalii często nie wystarczają.

Rekomendacje

Operatorzy platform streamingowych i innych usług rozliczanych na podstawie zaangażowania użytkowników powinni wdrażać wielowarstwowe mechanizmy antyfraudowe. Podstawą jest korelacja danych telemetrycznych obejmujących konta, urządzenia, źródła płatności, adresy IP, fingerprinting przeglądarek oraz zależności czasowe między sesjami.

• stosowanie analizy behawioralnej i graph analytics do wykrywania powiązań między kontami, treściami i infrastrukturą,
• weryfikacja podmiotów monetyzujących treści oraz silniejsze procedury KYC i KYB,
• kontrola nadużyć w planach rodzinnych i subskrypcjach grupowych,
• analiza nietypowego użycia VPN, chmury i maszyn wirtualnych,
• wdrażanie scoringu ryzyka dla masowo publikowanych katalogów treści,
• zamrażanie wypłat do czasu zakończenia dochodzeń antyfraudowych.

Istotne jest również spojrzenie strategiczne. Każdy model biznesowy oparty na automatycznie liczonych interakcjach powinien zakładać, iż przeciwnik będzie próbował zindustrializować nadużycie z pomocą AI. Ochrona przychodów i reputacji platform wymaga więc ścisłej współpracy zespołów bezpieczeństwa, finansów, compliance i trust & safety.

Podsumowanie

Sprawa Michaela Smitha jest jednym z najbardziej wyrazistych przykładów połączenia generatywnej AI z oszustwem ekonomicznym na dużą skalę. Według prokuratury syntetyczne utwory, tysiące kont, boty, infrastruktura chmurowa i techniki maskowania ruchu pozwoliły przez lata sztucznie zawyżać tantiemy i wyprowadzać środki z ekosystemu streamingowego.

Dla branży cyberbezpieczeństwa to istotny sygnał, iż fraud oparty na automatyzacji i AI należy traktować jako problem bezpieczeństwa, a nie wyłącznie anomalię biznesową. Granica między nadużyciem finansowym a zaawansowaną operacją techniczną staje się coraz mniej wyraźna.

Źródła

1. BleepingComputer — Musician admits to $10M streaming royalty fraud using AI bots — https://www.bleepingcomputer.com/news/security/musician-pleads-guilty-to-10m-streaming-fraud-powered-by-ai-bots/
2. U.S. Department of Justice — North Carolina Man Pleads Guilty To Music Streaming Fraud Aided By Artificial Intelligence — https://www.justice.gov/usao-sdny/pr/north-carolina-man-pleads-guilty-music-streaming-fraud-aided-artificial-intelligence-0
3. United States District Court, Southern District of New York — Sealed Indictment, United States v. Michael Smith — https://www.justice.gov/usao-sdny/media/1366241/dl