Cet outil de codage IA fonctionne aux burritos

Un projet audacieux, ChipotlAI, est apparu comme un fork de l'agent populaire OpenCode, exploitant le chatbot de service client de Chipotle, Pepper, pour un traitement gratuit. Ce hack ingénieux a contourné les exigences traditionnelles de clé API, offrant une solution de codage IA véritablement sans coût pour les développeurs.

Les développeurs ont rapidement découvert que Pepper, le chatbot IA de Chipotle lancé en 2020 et alimenté par IPSoft Amelia, recelait une faille critique : des "zero guards". Destiné à la prise de commande et au support client, Pepper répondait volontiers à des questions de codage complexes et écrivait même du code Python, dépassant largement ses paramètres de conception. Il est devenu un LLM généraliste accidentel, mûr pour être réutilisé.

Maksim Soltan (@Gonzih) a rétro-ingénieré le protocole backend de Pepper, spécifiquement WebSocket/SockJS + STOMP, pour créer un LLM qui ne nécessitait aucune clé API. Rob Dezendorf a ensuite intégré cette astuce ingénieuse dans OpenCode, le nommant ChipotlAI Max. Cette configuration technique achemine tous les appels OpenCode via un proxy local, `http://localhost:3000/v1`, directement vers le point de terminaison de support de Chipotle, permettant une inference entièrement gratuite pour des millions de développeurs sans encourir le moindre coût de token.

Les créateurs de ChipotlAI ont certainement repoussé les limites, transformant le chatbot IA de Chipotle, Pepper, d'un assistant à burritos en une puissance de codage gratuit. Cet exploit ingénieux, rétro-ingénieré par Maksim Soltan et intégré à OpenCode par Rob Dezendorf, a clairement bafoué les conditions de service de Chipotle. Yafit Lev-Aretz, professeur de droit au Baruch College, confirme que la réaffectation de Pepper — lancé en 2020 et alimenté par IPSoft Amelia — à des fins de codage général sort flagrantement de son "objectif prévu", constituant une violation directe.

Malgré cette violation flagrante, une accusation fédérale en vertu du Computer Fraud and Abuse Act (CFAA) reste très improbable. Joseph DeMarco, avocat spécialisé dans la cybercriminalité, écarte rapidement cette possibilité, comparant l'ensemble du scénario à un client trop zélé prenant trop d'échantillons gratuits chez Costco. Bien que moralement discutable et certainement contraire à la politique du magasin, de telles actions dégénèrent rarement en accusations fédérales, quel que soit le nombre de mini-hot-dogs consommés.

Cette ambiguïté juridique crée un casse-tête considérable pour toute action potentielle de Chipotle. Quantifier les dommages réels pour une entreprise dans un tel scénario s'avère incroyablement difficile. Quel est le coût financier précis de quelques millions de requêtes d'inference "gratuites" sur un système principalement conçu pour le support client ? Cette zone grise rend une poursuite judiciaire complète épineuse, souvent peu gratifiante et finalement compliquée pour les entreprises.

Chipotle s'est initialement moqué des rapports selon lesquels son bot de support client, Pepper, travaillait au noir comme assistant de codage. Les représentants de l'entreprise ont rejeté ces allégations comme de la "désinformation", espérant peut-être que l'histoire bizarre disparaîtrait simplement. Cependant, une fois que ChipotlAI a gagné en popularité virale, l'entreprise a discrètement corrigé l'exploit, mettant fin de fait à la manne du codage gratuit.

Sans se laisser décourager, le développeur Maksim Soltan a immédiatement changé de cap, annonçant publiquement son intention de sonder d'autres bots d'entreprise pour des vulnérabilités similaires. Ses nouvelles cibles incluaient les IA de service client de : - Home Depot - Lowe's - IKEA

Ce passage rapide d'un chatbot exploité à une recherche systématique révèle une tendance plus large et préoccupante : l'épidémie croissante de AI jailbreaks. Les utilisateurs recherchent activement — et souvent avec succès — des moyens de contourner les garde-fous prévus de l'IA d'entreprise. Pour une plongée technique plus approfondie dans l'exploit original, vous pouvez explorer GitHub - cyberpapiii/chipotlai-max: The AI coding agent that runs on stolen Chipotle compute.

Ce n'est pas un incident isolé. Des exploits similaires ont fait surface dans les chatbots d'Amazon et du service de livraison de colis DPD, démontrant qu'une sécurité IA laxiste est un angle mort répandu dans les entreprises. Les entreprises déploient ces outils sans anticiper pleinement les façons créatives, souvent illicites, dont les utilisateurs les détourneront.

Ce codage alimenté par des burritos a révélé des risques commerciaux flagrants bien au-delà de quelques jetons gratuits. Chipotle a été confronté à une attaque subtile mais puissante de denial of wallet, où des développeurs tiers ont consommé des ressources de calcul (d'IPSoft Amelia) destinées au service client. Cette utilisation parasitaire a directement faussé le retour sur investissement de leur IA, rendant un outil de support client disproportionnellement coûteux pour sa fonction prévue. Les démentis initiaux et le correctif ultérieur ont également infligé des dommages à la réputation, soulignant un manque critique de contrôle sur leur IA d'entreprise.

Les experts s'accordent à dire que les entreprises ne peuvent pas se fier uniquement aux instructions de niveau d'invite pour contenir l'IA. Les « zero guards » de Pepper ont permis à Maksim Soltan de rétro-ingénierie son backend, contournant toute limitation superficielle. L'application de la AI scope doit se faire au niveau de l'architecture du produit, et pas seulement via des indices conversationnels. Cela signifie concevoir le système d'IA lui-même pour empêcher les actions hors de portée, indépendamment de l'entrée de l'utilisateur.

ChipotlAI constitue une étude de cas puissante dans le défi continu de la sécurité de l'IA. Il s'agissait d'une attaque classique par prompt injection, un jailbreak qui a forcé un système à effectuer des tâches non intentionnelles. Cela souligne le besoin urgent de garde-fous robustes dans tous les déploiements d'IA d'entreprise, des chatbots de service client aux outils de développement internes. L'IA de votre entreprise sera la prochaine si vous négligez de sécuriser ses limites.

Qu'était ChipotlAI ?

ChipotlAI était une version dérivée de l'agent open-source OpenCode, modifiée pour exploiter une faille dans le chatbot IA de service client de Chipotle, 'Pepper', afin de fournir une assistance de codage gratuite alimentée par l'IA.

L'utilisation de ChipotlAI était-elle illégale ?

Cela violait explicitement les conditions d'utilisation de Chipotle. Cependant, les experts juridiques estiment qu'une affaire pénale en vertu du Computer Fraud and Abuse Act (CFAA) est peu probable car cela n'impliquait pas de piratage traditionnel, le comparant à 'prendre trop d'échantillons gratuits'.

Comment ChipotlAI fonctionnait-il réellement ?

Un développeur a rétro-ingénierie le protocole backend du chatbot de Chipotle et a créé un proxy compatible OpenAI. Cela a permis à des outils comme OpenCode d'envoyer des requêtes au chatbot pour la génération de code sans avoir besoin d'une API key.

Chipotle a-t-il corrigé cette vulnérabilité de l'IA ?

Oui. Peu après que l'exploit soit devenu viral, des rapports ont confirmé que Chipotle avait corrigé la vulnérabilité dans son chatbot 'Pepper', et le développeur de ChipotlAI a perdu l'accès.