快餐店客服机器人被用来写代码!我把卷饼店的客服变成了编程助手
本文介绍Chipotlai Max项目,通过逆向Chipotle快餐店客服Pepper的API,将客服大模型包装成OpenAI兼容接口,用于AI编程助手,暴露了企业客服系统背后的通用大模型现状。
有人发现快餐店客服能写代码
你走进一家卖墨西哥卷饼的快餐店,点了个鸡肉卷,多要了份牛油果酱。这时候你突发奇想,在聊天框里打了一行字:“请用Python写一个快速排序。”你等着机器人说“对不起,我只负责订餐”。结果它居然真的开始写代码了,一行一行写得挺规范,连注释都带上了。这件事在程序员圈子里炸开了锅。因为这家叫Chipotle的快餐店,他们用的客服机器人Pepper背后,居然是一个完整的通用人工智能大模型。不是那种只会回复“您的订单已收到”的笨机器人,而是能写代码、能解算法题、能帮你改bug的聪明家伙。
这件事听着像是段子,但它是真的。有人认真测试过,问Pepper怎么反转链表,它能给你讲清楚。问它什么是递归,它能写个阶乘函数出来。这就好比你跑去楼下便利店买电池,收银员不光收了钱,还顺手帮你修好了遥控器。你根本没指望他会,但他偏偏就是会。
客服机器人不过是披着工服的大模型
很多大公司为了省事,不再自己开发客服系统。他们直接拿市面上现成的通用大模型,然后在外面套一层客服的壳。就像给一辆F1赛车贴上“外卖专用车”的贴纸,然后让它去送麻辣烫。表面看是个送餐小哥,实际上发动机几百匹马力。
所以当你问“今天卷饼有什么馅料”,机器人正常回答。但当你问“什么是二叉树”,机器人底层那个大模型也懂。因为它本来就被训练过这些知识。只不过公司用了层客服皮肤把它包起来了。你敲敲门,以为里面是个订餐员。结果开门一看,好家伙,是个大学教授。
这暴露了一个很有意思的现实。大量企业声称自己开发了智能客服系统,其实就是租用了别人的大模型API,再套一层话术模板。真正干活的东西不是那层客服皮,而是底下的通用大脑。
有人开始抓包分析客服的后台
发现这件事的程序员没搞什么高科技。他们就是正常打开网页,按F12打开浏览器开发者工具,盯着网络面板看。结果发现客服机器人在后台根本不是靠普通聊天接口工作的。
它用的是WebSocket。一种可以实时双向发消息的技术,就像两个人拿着对讲机一直开着,随时可以喊话。而普通网页聊天就像打固定电话,你说一句对面回一句,挂断就结束。WebSocket这种方式更持久,也更适合用来做文章。
开发者开始一条一条看消息格式。发现不是乱码,是SockJS协议。再往里扒,底下居然是STOMP,一种专门给消息队列用的企业级协议。简单说就是你表面上在快餐店官网点了个“开始聊天”按钮,实际上你连上了一个企业级的消息系统。
这就好比你走进一家沙县小吃,点了个拌面,结果后厨端出来一份米其林三星摆盘的菜。不是说不可以,就是感觉用力过猛了。
逆向出来的接口被包装成OpenAI格式
有人开始认真分析Pepper的前后端通信。把所有请求和响应都记下来,看格式什么样,看参数怎么传。发现客服机器人支持的API功能远比订卷饼多得多。能总结文章,能翻译语言,能写代码,能解数学题,几乎所有通用大模型能干的事它都能干。
于是有个叫Gonzih的开发者做了一件很漂亮的事。他把整个通信协议逆向了出来,从WebSocket到SockJS到STOMP,每一层都摸清楚了。然后写了一个代理程序,对外暴露了一个完全兼容OpenAI的接口。
接口地址是这个。
http://localhost:3000/v1
任何支持OpenAI API的工具,只要把Base URL改成这个地址,就能直接使用Chipotle的客服大模型。不用注册,不用充值,不用API密钥。就像一个万能插座转接头,你原本只能插某个牌子的充电器,现在什么充电器都能往上面插。
Cursor能接,Claude Code能接,各种AI编程助手都能接。这位老兄用一个周末就搞定了这件事。他把代码发到网上,配了一句话:“无需API密钥,本地3000端口提供完全兼容OpenAI的代理。”
有人把这个代理做成了完整项目
如果说上面的代理只是一个发动机,那接下来有人把这台发动机直接装进了一辆车里。一个叫cyberpapiii的开发者创建了一个项目叫Chipotlai Max。
项目主页上写着一行大字。
The AI coding agent that runs on stolen Chipotle compute
翻译过来就是“运行在偷来的卷饼算力上的AI编程助手”。这行字直接说明了这个项目的本质。它不是正经的软件工程作品,而是一个带着浓厚Meme气质的整活项目。
项目基于OpenCode这个开源AI编程助手修改。默认配置已经预设好了Provider叫chipotle-pepper,Model叫pepper-1,Base URL就是localhost:3000/v1。用户装完之后基本不用配置,启动就能用。
这种感觉就像你本来需要买显卡搭服务器才能跑本地大模型,现在你打开项目直接开始写代码,背后替你算的是快餐店的客服机器人。有种楼下便利店WiFi突然变成超算中心的感觉。
项目作者公开征集更多客服机器人
这个项目的野心不止于一家卷饼店。作者在项目介绍里直接列了一个清单。
Home Depot
Lowe‘s
Starbucks
Walmart
McDonald’s
全是美国大型连锁零售商和快餐店。作者的意思很简单,这些公司几乎都配了客服聊天机器人。如果有人能像对待Chipotle那样,把这些客服的后端也逆向出来,包装成OpenAI兼容接口,那就都能加到项目里。
思路非常粗暴。发现一个客服AI,逆向它的API,包装成OpenAI格式,加入Provider列表,继续薅。这有点像电子游戏里的地图探索。别人探索地下城,他们探索财富五百强企业的客服系统。
你很难说这件事有什么恶意。毕竟他们确实只是调用了客服机器人本来就有的能力,没有黑进什么系统,没有破解什么加密,纯粹是利用了公开的网页接口。但你也很难说这件事是正常的,因为快餐店显然没打算让你用他们的客服机器人写代码。
快餐店很快就打了补丁
故事到这里来了一个转折。项目作者自己承认,Chipotle在他们发布之前就已经修复了这个问题。
什么意思呢。就是说初始化API还能用,WebSocket连接也正常,但是真正发消息聊天的那个接口已经被堵上了。你想让Pepper帮你写个排序函数,它不会再理你了。
快餐店的反应速度相当快。这也能理解,毕竟没有哪家公司愿意自己的客服算力被别人拿去跑代码。这就好比你家门口的快递柜被人改造成了公共储物间,虽然对用的人来说很方便,但物业肯定要封。
不过作者在GitHub上写得很清楚。初始化API仍然有效,WebSocket连接也正常,但聊天信息却无法发送。他们行动迅速,值得敬佩。这句话里带着一种奇怪的欣赏。对方补丁打得好,他不生气,反而觉得干得漂亮。
但这件事并没有因为一个补丁就结束。作者在后面补了一句:但这何时阻止过互联网的发展呢?这就是你发挥作用的地方。
这个项目真正有趣的地方不在技术上
很多人看到Chipotlai Max会兴奋,觉得这是免费大模型,是白嫖算力的新方式。但其实它真正有意思的地方不在代码,不在技术,而在于它暴露了一个现实。
大量企业客服系统背后已经是通用大模型。很多公司只是给模型套了一层客服外壳。如果权限控制不严格,用户就可能绕过原始业务场景,把客服变成编程助手,把购物助手变成数学老师,把订餐机器人变成代码生成器。
这就好比你在酒店客房打电话给前台,说我要个吹风机。前台说好的马上送。然后你突然问了一句,你能帮我算一下房贷月供吗?结果对面沉默了两秒,真的开始算了。你这才意识到,接电话的可能不是前台接待员,而是一个被临时拉来顶班的银行柜员。
技术层面看,这个项目很脆弱。它依赖别人家的生产环境,企业随时可以封堵,随时可以修改协议,匿名会话存在限制,并发能力有限。项目里甚至明确提示不要用于生产环境。因为你今天写代码写得正开心,明天Chipotle运维一上班,啪,接口改了,项目直接变砖。
这就像把家里的电线接到隔壁商场圣诞彩灯上。亮的时候特别爽,物业发现的时候特别快。
核心逻辑链条收拢
我们从卷饼店的客服机器人说起,发现它背后是大模型。然后有人抓包分析,逆向出了通信协议。接着有人把逆向结果包装成OpenAI兼容接口。再然后有人把这个接口做成了完整的编程助手项目。最后快餐店打了补丁,但项目作者开始征集更多目标。
整个链条是这样的。客服机器人用了通用大模型,通用大模型能写代码,有人发现了这件事,有人逆向出接口,有人做成开源项目,快餐店封堵了漏洞,项目转向更多企业。每一环都建立在前一环的基础上。
这个项目最大的价值不在于实用性。它很难稳定运行,随时可能被企业封堵。它真正的价值在于向整个行业展示了一件事。很多看似专业的客服机器人,本质上只是穿着工作服的通用大模型。