El servidor MCP pop-pay agrega barreras de protección de pagos para los agentes Claude Code.

pop-pay es un servidor MCP diseñado específicamente para usuarios de Claude Code que necesitan que sus agentes de IA manejen compras de forma autónoma sin exponer números reales de tarjetas de crédito. La herramienta aborda preocupaciones de seguridad como bucles de alucinación, inyecciones de prompt o llamadas incorrectas a herramientas que podrían llevar a la extracción de tarjetas o cargos no autorizados.

Cómo funciona

La configuración involucra tres pasos:

• Ejecutar pop-launch — inicia Chrome con CDP habilitado e imprime los comandos exactos de claude mcp add para tu máquina
• Agregar el servidor MCP pop-pay y el MCP de Playwright (ambos en un solo paso)
• Agregar un bloque corto a tu CLAUDE.md

Cuando Claude llega a una página de pago, llama a request_virtual_card(). pop-pay evalúa la intención contra tu política, y si es aprobada, inyecta las credenciales de la tarjeta directamente en el iframe de pago a través de CDP. Claude solo recibe una confirmación enmascarada (como ****-****-****-4242) — el PAN crudo nunca entra en la ventana de contexto.

Características de seguridad

El endurecimiento de seguridad en las versiones v0.6.0 a v0.6.4 incluye:

• Ejecutar pop-init-vault — cifra tus credenciales de tarjeta en ~/.config/pop-pay/vault.enc (configuración única)
• Las credenciales se almacenan en una bóveda cifrada AES-256-GCM — sin .env en texto plano
• La compilación de PyPI integra la sal de derivación de clave en una extensión de Cython; la sal nunca existe como un objeto Python — solo la clave derivada final lo hace
• SQLite nunca almacena números de tarjeta crudos o CVV
• Una protección TOCTOU en el momento de inyección previene ataques de redirección a atacantes entre la aprobación y la inyección

Las pruebas del equipo rojo revelaron y corrigieron tres problemas: una función get_compiled_salt() que filtraba la sal compilada (corregida en v0.6.1), escaneo con strings que revelaba la sal en texto plano (parcheada con ofuscación XOR en v0.6.2), y una ruta de ataque de degradación donde un agente podía eliminar el .so y forzar el re-cifrado con la sal pública (bloqueada por un marcador .vault_mode que evidencia manipulación en v0.6.4). La versión actual es v0.6.17.

Sistema de barrera de dos capas

El sistema utiliza dos capas de protección:

• Capa 1 (siempre activa): Motor de palabras clave + patrones — detecta bucles de alucinación, intentos de inyección de prompt en la carga útil de razonamiento, URLs de phishing. Cero costo de API, se ejecuta localmente.
• Capa 2 (opcional): Evaluación semántica con LLM — para casos difusos. Utiliza cualquier endpoint compatible con OpenAI, incluidos modelos locales. La Capa 2 solo se ejecuta si la Capa 1 pasa, evitando costos de tokens en rechazos obvios.

Configuración de políticas

Los usuarios definen sus propias políticas con variables de entorno:

POP_ALLOWED_CATEGORIES=["aws", "github", "stripe"]
POP_MAX_PER_TX=50.0
POP_MAX_DAILY=200.0

Si Claude intenta comprar algo fuera de la lista permitida — incluso con una razón que suene convincente — es bloqueado.

El desarrollador está buscando comentarios de cualquiera que esté construyendo con Claude Code + MCP, específicamente sobre si el enfoque de inyección CDP se mantiene en sitios reales y qué flujos de pago podrían romper este tipo de inyección DOM.