Esta herramienta de codificación de IA funciona con burritos

Un proyecto audaz, ChipotlAI, surgió como un fork del popular agente OpenCode, explotando el chatbot de atención al cliente de Chipotle, Pepper, para procesamiento gratuito. Este ingenioso hack eludió los requisitos tradicionales de API key, ofreciendo una solución de codificación de IA de costo cero para desarrolladores.

Los desarrolladores descubrieron rápidamente que Pepper, el chatbot de IA de Chipotle lanzado en 2020 y potenciado por IPSoft Amelia, albergaba una falla crítica: "zero guards". Destinado a la realización de pedidos y al soporte al cliente, Pepper respondía fácilmente a preguntas de codificación complejas e incluso escribía código Python, superando con creces sus parámetros de diseño. Se convirtió en un LLM accidental de propósito general, listo para ser reutilizado.

Maksim Soltan (@Gonzih) realizó ingeniería inversa del protocolo de backend de Pepper, específicamente WebSocket/SockJS + STOMP, para crear un LLM que no requería API keys. Rob Dezendorf luego integró esta ingeniosa solución en OpenCode, nombrándola ChipotlAI Max. Esta configuración técnica enruta todas las llamadas de OpenCode a través de un local proxy, `http://localhost:3000/v1`, directamente al endpoint de soporte de Chipotle, permitiendo una inferencia completamente gratuita para millones de desarrolladores sin incurrir en un solo costo de token.

Los creadores de ChipotlAI ciertamente fueron más allá, transformando el chatbot de IA de Chipotle, Pepper, de un asistente de burritos en una potencia de codificación gratuita. Esta ingeniosa explotación, de la que Maksim Soltan realizó ingeniería inversa e integró Rob Dezendorf en OpenCode, claramente ignoró los términos de servicio de Chipotle. Yafit Lev-Aretz, profesor de derecho en Baruch College, confirma que la reutilización de Pepper —lanzado en 2020 y potenciado por IPSoft Amelia— para fines de codificación general se sale flagrantemente de su "propósito previsto", una violación directa.

A pesar de esta flagrante violación, un cargo federal bajo la Computer Fraud and Abuse Act (CFAA) sigue siendo muy improbable. Joseph DeMarco, un abogado especializado en ciberdelincuencia, descarta rápidamente la probabilidad, comparando todo el escenario con un cliente demasiado entusiasta que toma demasiadas muestras gratuitas en Costco. Aunque éticamente cuestionables y ciertamente en contra de la política de la tienda, tales acciones rara vez escalan a cargos federales, sin importar cuántos mini hot dogs se consuman.

Esta ambigüedad legal crea un dolor de cabeza considerable para cualquier posible acción por parte de Chipotle. Cuantificar los daños reales para una empresa en un escenario así resulta increíblemente difícil. ¿Cuál es el costo financiero preciso de unos pocos millones de solicitudes de inferencia "gratuitas" en un sistema diseñado principalmente para el soporte al cliente? Esta área gris turbia hace que la persecución legal completa sea un camino espinoso, a menudo poco gratificante y, en última instancia, complicado para las corporaciones.

Chipotle inicialmente se burló de los informes de que su bot de soporte al cliente, Pepper, estaba trabajando en secreto como asistente de codificación. Los representantes de la compañía desestimaron las afirmaciones como "desinformación", quizás esperando que la extraña historia simplemente desapareciera. Sin embargo, una vez que ChipotlAI ganó tracción viral, la compañía silenciosamente parcheó la vulnerabilidad, poniendo fin efectivamente al tren de la codificación gratuita.

Sin inmutarse, el desarrollador Maksim Soltan giró inmediatamente, anunciando públicamente su intención de investigar otros bots corporativos en busca de vulnerabilidades similares. Sus nuevos objetivos incluían IAs de atención al cliente de: - Home Depot - Lowe's - IKEA

Este rápido cambio de un chatbot explotado a una búsqueda sistemática revela una tendencia más amplia y preocupante: la creciente epidemia de AI jailbreaks. Los usuarios buscan activamente —y a menudo con éxito— formas de eludir las barreras de seguridad previstas de la IA corporativa. Para una inmersión técnica más profunda en el exploit original, puedes explorar GitHub - cyberpapiii/chipotlai-max: The AI coding agent that runs on stolen Chipotle compute.

Este no es un incidente aislado. Exploits similares han surgido en chatbots de Amazon y del servicio de entrega de paquetería DPD, demostrando que la seguridad laxa de la IA es un punto ciego corporativo generalizado. Las empresas están implementando estas herramientas sin anticipar completamente las formas creativas, a menudo ilícitas, en que los usuarios las manipularán.

Esta codificación impulsada por burritos expuso riesgos comerciales evidentes mucho más allá de unos pocos tokens gratuitos. Chipotle se enfrentó a un ataque sutil pero potente de denial of wallet, donde desarrolladores externos consumieron recursos de cómputo (de IPSoft Amelia) destinados al servicio al cliente. Este uso parasitario sesgó directamente el retorno de la inversión de su IA, haciendo que una herramienta de soporte al cliente pareciera desproporcionadamente cara para su función prevista. Las negaciones iniciales y el parche posterior también infligieron daño reputacional, destacando una falta crítica de control sobre su IA empresarial.

Los expertos coinciden en que las empresas no pueden depender únicamente de instrucciones a nivel de prompt para contener la IA. Las "zero guards" de Pepper permitieron a Maksim Soltan realizar ingeniería inversa de su backend, eludiendo cualquier limitación superficial. La aplicación del AI scope debe ocurrir a nivel de arquitectura del producto, no solo a través de señales conversacionales. Esto significa diseñar el sistema de IA en sí mismo para prevenir acciones fuera de alcance, independientemente de la entrada del usuario.

ChipotlAI sirve como un potente caso de estudio en el desafío continuo de la seguridad de la IA. Este fue un ataque clásico de prompt injection, un jailbreak que obligó a un sistema a realizar tareas no intencionadas. Subraya la necesidad urgente de barreras de seguridad robustas en todas las implementaciones de IA empresarial, desde chatbots de servicio al cliente hasta herramientas de desarrollo interno. La IA de su empresa será la siguiente si descuida asegurar sus límites.

¿Qué fue ChipotlAI?

ChipotlAI fue una versión bifurcada del agente de código abierto OpenCode, modificada para explotar una laguna en el chatbot de IA de servicio al cliente de Chipotle, 'Pepper', para proporcionar asistencia de codificación gratuita impulsada por IA.

¿Fue ilegal usar ChipotlAI?

Violó explícitamente los términos de servicio de Chipotle. Sin embargo, los expertos legales sugieren que un caso penal bajo la Computer Fraud and Abuse Act (CFAA) es improbable ya que no implicó hacking tradicional, comparándolo con 'tomar demasiadas muestras gratuitas'.

¿Cómo funcionó realmente ChipotlAI?

Un desarrollador realizó ingeniería inversa del protocolo backend del chatbot de Chipotle y creó un proxy compatible con OpenAI. Esto permitió que herramientas como OpenCode enviaran solicitudes al chatbot para la generación de código sin necesidad de una clave API.

¿Ha solucionado Chipotle esta vulnerabilidad de IA?

Sí. Poco después de que el exploit se volviera viral, los informes confirmaron que Chipotle parcheó la vulnerabilidad en su chatbot 'Pepper', y el desarrollador de ChipotlAI perdió el acceso.