pop-pay MCP-Server fügt Zahlungs-Sicherheitsvorkehrungen für Claude Code-Agents hinzu

pop-pay ist ein MCP-Server, der speziell für Claude Code-Nutzer entwickelt wurde, deren KI-Agenten Einkäufe autonom abwickeln müssen, ohne echte Kreditkartennummern offenzulegen. Das Tool befasst sich mit Sicherheitsbedenken wie Halluzinationsschleifen, Prompt-Injektionen oder fehlerhaften Tool-Aufrufen, die zu Kartenextraktion oder unbefugten Belastungen führen könnten.

Funktionsweise

Die Einrichtung umfasst drei Schritte:

• pop-launch ausführen – startet Chrome mit aktiviertem CDP und gibt die genauen claude mcp add-Befehle für Ihren Rechner aus
• Den pop-pay MCP-Server und Playwright MCP hinzufügen (beides in einem Schritt)
• Einen kurzen Block zu Ihrer CLAUDE.md hinzufügen

Wenn Claude eine Kasse erreicht, ruft es request_virtual_card() auf. pop-pay bewertet die Absicht anhand Ihrer Richtlinie, und bei Genehmigung injiziert es die Kartendaten direkt über CDP in das Zahlungs-Iframe. Claude erhält nur eine maskierte Bestätigung (wie ****-****-****-4242) – die rohe PAN gelangt nie in das Kontextfenster.

Sicherheitsfunktionen

Die Sicherheitshärtung in den Versionen v0.6.0 bis v0.6.4 umfasst:

• pop-init-vault ausführen – verschlüsselt Ihre Kartendaten in ~/.config/pop-pay/vault.enc (Einmal-Einrichtung)
• Daten werden in einem AES-256-GCM-verschlüsselten Tresor gespeichert – kein Klartext-.env
• Der PyPI-Build kompiliert den Schlüsselableitungssalz in eine Cython-Erweiterung; der Salz existiert nie als Python-Objekt – nur der endgültige abgeleitete Schlüssel
• SQLite speichert niemals rohe Kartennummern oder CVV
• Eine Injektionszeit-TOCTOU-Sicherung verhindert Umleitungsangriffe zwischen Genehmigung und Injektion

Red-Team-Tests deckten drei Probleme auf und beheben sie: eine get_compiled_salt()-Funktion, die den kompilierten Salz ausgab (in v0.6.1 behoben), strings-Scans, die Klartextsalz offenlegten (in v0.6.2 mit XOR-Obfuskation gepatcht), und einen Downgrade-Angriffspfad, bei dem ein Agent die .so löschen und eine Neuverschlüsselung mit dem öffentlichen Salz erzwingen könnte (in v0.6.4 durch eine manipulationssichere .vault_mode-Markierung blockiert). Die aktuelle Version ist v0.6.17.

Zweischichtiges Sicherheitssystem

Das System nutzt zwei Schutzebenen:

• Ebene 1 (immer aktiv): Keyword- + Muster-Engine – erkennt Halluzinationsschleifen, Prompt-Injektionsversuche in den Nutzdaten, Phishing-URLs. Keine API-Kosten, läuft lokal.
• Ebene 2 (optional): LLM-semantische Auswertung – für unklare Fälle. Nutzt jeden OpenAI-kompatiblen Endpunkt, einschließlich lokaler Modelle. Ebene 2 läuft nur, wenn Ebene 1 bestanden wird, um Token-Kosten bei offensichtlichen Ablehnungen zu vermeiden.

Richtlinienkonfiguration

Nutzer definieren ihre eigenen Richtlinien mit Umgebungsvariablen:

POP_ALLOWED_CATEGORIES=["aws", "github", "stripe"]
POP_MAX_PER_TX=50.0
POP_MAX_DAILY=200.0

Wenn Claude versucht, etwas außerhalb der erlaubten Liste zu kaufen – selbst mit einem überzeugend klingenden Grund – wird es blockiert.

Der Entwickler sucht Feedback von allen, die mit Claude Code + MCP arbeiten, insbesondere dazu, ob der CDP-Injektionsansatz auf echten Websites standhält und welche Kassenabläufe diese Art von DOM-Injektion stören könnten.