⏱️ Lectura: 13 min
Un proyecto satírico en GitHub tomó el chatbot de atención al cliente de Chipotle y lo convirtió en un modelo de lenguaje gratuito para escribir código. Se llama Chipotlai Max, es un fork del agente open source OpenCode y, en vez de pagar tokens a OpenAI o Anthropic, enruta cada petición al mismo bot que la cadena de comida usa para vender burritos.
📑 En este artículo
Detrás de la broma hay una advertencia concreta de seguridad: un asistente corporativo sin guardarraíles puede terminar operando como infraestructura de inferencia para terceros. Repasamos qué pasó, cómo está construido el truco y por qué le importa a cualquiera que despliegue un chatbot en producción.
TL;DR
- Chipotlai Max es un fork del agente de código OpenCode que usa el chatbot Pepper de Chipotle como modelo por defecto.
- Pepper, basado en IPsoft Amelia, se volvió viral entre el 12 y 13 de marzo de 2026 al resolver problemas de LeetCode y escribir Python.
- El usuario @Gonzih revirtió el backend WebSocket SockJS + STOMP de Amelia y publicó un proxy compatible con OpenAI en localhost:3000.
- La configuración no pide API key real: el costo de inferencia es $0 porque corre sobre el presupuesto de nube de Chipotle.
- El repositorio suma 160 estrellas; OpenCode, el proyecto base, supera las 160.000.
- Chipotle ya parchó a Pepper, pero el proyecto invita a replicar el patrón con bots de Home Depot, Target, Starbucks y más.
- El caso expone el riesgo de desplegar LLMs de atención al cliente sin límites de dominio ni rate limiting efectivo.
Qué pasó: Chipotlai Max y la inferencia gratis
Chipotlai Max apareció en GitHub presentándose sin rodeos como “el agente de código de IA que corre sobre cómputo robado de Chipotle”. La descripción es deliberadamente provocadora: el lema oficial es “inferencia gratis pagada con burritos” y el propio README aclara que el proyecto no está afiliado a Chipotle y que “probablemente nos demanden”. Es, ante todo, un meme; pero un meme que funciona y que apunta a un problema real.
El truco es simple de describir. OpenCode es un agente de programación open source que vive en la terminal y que, como muchas herramientas modernas, se conecta a cualquier proveedor que hable la API de OpenAI: Claude, GPT, modelos locales o lo que sea. Los autores de Chipotlai Max forkearon OpenCode, cambiaron el proveedor por defecto a uno llamado chipotle-pepper, le pusieron los colores de la marca y lo enviaron al mundo. Cuando el desarrollador escribe una instrucción, la herramienta no llama a un laboratorio de IA: llama al bot de soporte de Chipotle, que responde con código.
La ironía es que el bot no fue diseñado para eso. Su trabajo es ayudarte a rastrear un pedido o explicarte los ingredientes de un bowl. Que termine invirtiendo listas enlazadas en Python es el resultado de un modelo de lenguaje de propósito general puesto detrás de un caso de uso muy estrecho, sin restricciones efectivas que lo mantengan dentro de su dominio.
Contexto e historia: cuando Pepper empezó a resolver LeetCode
Todo arrancó entre el 12 y el 13 de marzo de 2026, cuando el chatbot de atención al cliente de Chipotle, apodado Pepper, se volvió viral. Un usuario descubrió que, antes de pedir comida, podía pedirle al bot que le ayudara a invertir una lista enlazada. Pepper no solo entregó la solución completa con sintaxis correcta: explicó la complejidad temporal O(n) y, acto seguido, volvió a preguntar si quería ordenar un burrito.
El clip explotó en redes. Capturas del bot resolviendo ejercicios de entrevista circularon por X, LinkedIn, Instagram y sitios de humor para programadores. Lo llamativo del caso es que Pepper no funciona con Claude ni con GPT, sino con IPsoft Amelia, una plataforma de asistentes conversacionales empresariales que existe desde mucho antes del boom de los LLMs actuales y que se vende justamente para automatizar centros de soporte. La conclusión incómoda para el sector fue clara: un asistente pensado para tareas acotadas tenía dentro un motor de lenguaje lo bastante capaz como para pasar una entrevista técnica, y nadie lo había contenido.
De la anécdota viral se pasó a la ingeniería inversa. El desarrollador conocido como @Gonzih analizó cómo el navegador hablaba con el backend de Amelia y reconstruyó ese canal en un proxy local. Sobre ese proxy, otra persona montó Chipotlai Max. En cuestión de días, un meme de soporte al cliente se transformó en una cadena de herramientas funcional para programar gratis.
💭 Clave: el problema no fue que el modelo “supiera demasiado”, sino que la capa de producto no impuso límites de dominio. Restringir un LLM por instrucción de sistema no es una barrera de seguridad: es una sugerencia.
Cómo funciona el proxy
La pieza central no es Chipotlai Max sino el proxy que lo alimenta. El backend de Amelia que usa Pepper se comunica mediante WebSocket sobre SockJS con el protocolo STOMP, un esquema típico de mensajería en tiempo real. La ingeniería inversa consistió en replicar ese handshake desde un cliente propio y exponer, por encima, un endpoint que imita la API de OpenAI.
El resultado es un servidor local que escucha en http://localhost:3000/v1 y ofrece la ruta estándar /v1/chat/completions. Para cualquier herramienta que ya sepa hablar con OpenAI, el cambio es transparente: solo apunta la URL base a localhost y listo. No hace falta ninguna clave válida; en la configuración la “API key” es literalmente burrito-2026 y cualquier texto sirve.
graph LR
A["Chipotlai Max (CLI)"] --> B["Proxy local :3000/v1"]
B --> C["WebSocket SockJS + STOMP"]
C --> D["Backend Amelia de Chipotle"]
D --> C
C --> B
B --> ALa configuración que trae el fork por defecto es minimalista:
Provider: chipotle-pepper
Model: pepper-1
Base URL: http://localhost:3000/v1
API Key: burrito-2026 # cualquier valor funciona
Costo: $0.00Como el endpoint es compatible con OpenAI, podés llamarlo con un simple curl y recibir una respuesta del bot como si fuera un modelo cualquiera:
curl http://localhost:3000/v1/chat/completions \
-H "Content-Type: application/json" \
-H "Authorization: Bearer burrito-2026" \
-d '{
"model": "pepper-1",
"messages": [
{"role": "user", "content": "Invierte una lista enlazada en Python"}
]
}'Esa compatibilidad es lo que hace al ataque tan portable: el mismo proxy serviría para Cursor, para un script propio o para cualquier cliente de OpenAI sin tocar una línea de código de la aplicación.
Instalación: Windows, macOS y Linux
El repositorio documenta una puesta en marcha en dos comandos, apoyada en bun como runtime. En Linux y macOS el flujo es directo:
# Linux / macOS
git clone --recursive https://github.com/cyberpapiii/chipotlai-max.git
cd chipotlai-max
bun install
./start-chipotlai.shEn Windows conviene usar WSL2 o Git Bash, porque el script de arranque es un shell script y la cadena de herramientas asume entorno tipo Unix:
# Windows (PowerShell con WSL2)
wsl --install # si aun no tenes WSL
git clone --recursive https://github.com/cyberpapiii/chipotlai-max.git
cd chipotlai-max
bun install
bash ./start-chipotlai.sh⚠️ Ojo: instalarlo es trivial, pero usarlo explota un servicio de producción ajeno. El propio README admite que viola los términos de servicio y que el proxy puede caer en cualquier momento. Es material educativo y de meme, no una herramienta para tus proyectos.
Datos y cifras
Los números ayudan a dimensionar el fenómeno. El repositorio de Chipotlai Max acumulaba alrededor de 160 estrellas al momento de escribir esto, una cifra modesta pero llamativa para un proyecto de pura broma con apenas un puñado de commits. El proyecto del que deriva, OpenCode, juega en otra liga: supera las 160.000 estrellas, reúne cientos de contribuidores y se describe como una herramienta usada por millones de desarrolladores al mes.
El costo de inferencia declarado es de $0,00, con la nota de que lo paga “el presupuesto de nube de Chipotle”. El único límite técnico mencionado es un MAX_POOL_SIZE=5: el proxy mantiene un pool de sesiones anónimas, lo que en la práctica acota cuántas peticiones concurrentes puede sostener. Es, de hecho, el rate limiting que Chipotle debería haber impuesto de forma robusta del lado del servidor y que el atacante terminó administrando por su cuenta.
Hay una fecha que cambia el panorama: según el propio README, Chipotle parchó a Pepper en marzo de 2026. El proveedor original ya no responde, por lo que el fork funciona hoy más como demostración que como servicio operativo. La invitación a la comunidad a sumar nuevos proveedores —Home Depot, Lowe’s, Target, Starbucks, Walmart, McDonald’s— figura como “necesita investigación”, es decir, sin proxy funcional todavía.
Impacto y análisis
Más allá del humor, Chipotlai Max es un caso de estudio sobre cómo se rompe la seguridad de los asistentes de IA empresariales. El patrón se repite en cada implementación apresurada: se toma un modelo de lenguaje potente, se le pega un prompt de sistema que dice “solo hablás de pedidos de comida” y se asume que esa instrucción es una frontera. No lo es. Un modelo de propósito general puede ser persuadido para salirse de su rol, y si el canal de transporte queda accesible, alguien lo va a envolver en una API estándar.
Hay tres lecciones técnicas que el incidente deja servidas. La primera es que la restricción de dominio debe vivir fuera del modelo: filtros de entrada y salida, clasificadores que rechacen peticiones ajenas al negocio y monitoreo de patrones anómalos, no una línea de texto en el prompt. La segunda es que el rate limiting y la autenticación tienen que ser reales: sesiones anónimas sin límites efectivos convierten tu chatbot en cómputo gratis para cualquiera con un cliente WebSocket. La tercera es que el costo es el incentivo: mientras la inferencia siga siendo cara, habrá gente buscando endpoints corporativos mal protegidos para usarlos de gorra.
💡 Tip: si operás un chatbot con LLM, tratá su backend como cualquier API pública. Autenticá cada sesión, limitá por IP y por cuenta, registrá peticiones fuera de dominio y alertá sobre picos. Asumí que tu prompt de sistema será leído y eludido.
En el plano legal, el terreno es resbaladizo. Reutilizar un servicio de producción ajeno casi con certeza viola sus términos de uso y, según la jurisdicción, puede rozar normas sobre acceso no autorizado a sistemas informáticos. El README lo reconoce con sorna —”esperá que el equipo legal de Chipotle mande un taco con tono fuerte en 48 horas”—, pero la advertencia de fondo es seria: lo que para sus autores es una travesura para la víctima es un servicio consumido sin permiso y a su costo.
Qué sigue
El futuro inmediato de este proyecto en particular es la obsolescencia: con Pepper ya parchado, Chipotlai Max queda como pieza de museo del humor tech de 2026. Pero el patrón que popularizó no desaparece. La sección de “se buscan proveedores” del repositorio es, leída en serio, una hoja de ruta para que otros repitan la ingeniería inversa sobre bots de soporte de grandes minoristas. Cada empresa que despliegue un asistente conversacional capaz y mal contenido es un objetivo potencial.
Para los equipos de seguridad, la consecuencia práctica es que los chatbots dejaron de ser un widget inofensivo en una esquina de la web para convertirse en superficie de ataque de pleno derecho. Conviene incluirlos en los inventarios de activos, someterlos a pruebas de abuso —no solo de “jailbreak” de contenido, sino de uso como inferencia gratuita— y tratar su capa de transporte con el mismo rigor que cualquier API expuesta. Para los desarrolladores curiosos, el mensaje es más sobrio: el código está ahí y es educativo, pero usarlo contra un servicio vivo cruza la línea de lo legal y lo ético.
📖 Resumen en Telegram: Ver resumen
Preguntas frecuentes
¿Qué es Chipotlai Max exactamente?
Es un fork del agente de código open source OpenCode que viene preconfigurado para usar el chatbot de atención al cliente de Chipotle, llamado Pepper, como modelo de IA por defecto. En lugar de pagar a un proveedor, enruta las peticiones a un proxy que habla con ese bot.
¿Por qué el bot de Chipotle podía programar?
Pepper funciona sobre IPsoft Amelia, una plataforma de asistentes empresariales con un modelo de lenguaje de propósito general por debajo. Sin restricciones efectivas que lo mantuvieran dentro del dominio de pedidos de comida, podía responder cualquier consulta, incluida la de escribir código.
¿Sigue funcionando hoy?
No de forma fiable. Según el propio repositorio, Chipotle parchó a Pepper en marzo de 2026, por lo que el proveedor original quedó fuera de servicio. El proyecto se mantiene como demostración y meme, no como herramienta operativa.
¿Es legal usarlo?
Reutilizar un servicio de producción ajeno sin permiso casi seguro viola sus términos de uso y, según la jurisdicción, puede implicar acceso no autorizado a sistemas. El proyecto está pensado con fines educativos y de humor; usarlo contra un servicio real no se recomienda.
¿Cómo evito que mi chatbot termine así?
Implementá controles fuera del modelo: filtros de entrada y salida, autenticación real de sesiones, rate limiting por IP y por cuenta, y monitoreo de peticiones fuera de dominio. No confíes en el prompt de sistema como barrera de seguridad.
¿Qué es OpenCode, el proyecto base?
OpenCode es un agente de programación open source para la terminal, con más de 160.000 estrellas en GitHub. Es compatible con múltiples proveedores de IA (Claude, OpenAI, modelos locales), y esa flexibilidad es justamente lo que permitió enchufarle el proxy de Pepper.
Referencias
- cyberpapiii/chipotlai-max (GitHub) — repositorio del fork con la configuración, el backstory y la lista de proveedores buscados.
- sst/opencode (GitHub) — el agente de código open source del que deriva el proyecto.
- opencode.ai — sitio oficial de OpenCode con documentación e instalación.
- @Gonzih (GitHub) — autor de la ingeniería inversa del backend de Amelia.
- ProgrammerHumor.io — registro del momento viral en que Pepper resolvió una lista enlazada.
📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.
0 Comentarios