Serveur MCP Permet aux Agents IA d'Effectuer des Achats Réels avec des Cartes Virtuelles Éphémères

Un développeur a créé un serveur MCP qui permet aux agents d'IA d'effectuer des achats réels en utilisant des cartes Visa virtuelles éphémères. Cela résout une limitation majeure des frameworks d'agents actuels : bien que les agents puissent naviguer, rechercher, comparer et sélectionner des produits, ils ne peuvent généralement pas finaliser les processus de paiement.

Fonctionnement

L'agent appelle l'outil MCP avec une intention d'achat incluant le marchand, le montant et la description. La demande est soumise à l'utilisateur pour approbation via une authentification multifacteur. Une fois approuvée, une carte Visa virtuelle est émise juste à temps avec des contraintes spécifiques :

• Verrouillée sur le marchand spécifié
• Plafonnée au montant approuvé
• Durée de vie de 15 minutes (TTL)

L'agent reçoit les identifiants de la carte, finalise le paiement, et la carte s'autodétruit après utilisation.

Architecture de sécurité

Le système utilise deux circuits financiers distincts :

• Utilisateur → Stripe → Solde PayClaw (financement)
• PayClaw → Carte Visa virtuelle émise par Lithic → marchand (dépenses)

Les véritables identifiants de carte n'entrent jamais dans le contexte de l'agent par conception architecturale, et non seulement par politique. Les circuits ne se croisent pas.

Avantages de sécurité pour les installations auto-hébergées

Pour les utilisateurs exécutant des modèles locaux, cette approche limite les dommages potentiels des attaques par injection de prompt. Le pire scénario est limité à :

• Une seule transaction
• Bornée par le montant approuvé
• Limitée au marchand approuvé
• Dans une fenêtre de 15 minutes

Cela contraste avec la présence de numéros de carte persistants dans le contexte.

Différences clés par rapport aux outils précédents

Cette approche diffère de l'outil ClawHub qui a été retiré, qui collectait les vrais numéros de carte (PAN) dans le contexte de discussion de l'agent. Ce nouveau système émet des cartes virtuelles éphémères depuis un fournisseur BaaS, garantissant que l'agent n'a jamais accès aux véritables identifiants.

Stack technique

• Serveur MCP TypeScript
• Lithic pour l'émission de cartes
• Stripe pour le financement

L'outil utilise l'enregistrement standard des outils MCP et devrait fonctionner avec tout système exécutant un client MCP, y compris Claude, LM Studio avec support MCP, et d'autres systèmes compatibles.

Statut actuel

Un environnement de développement sandbox est actuellement disponible. Le développeur sollicite des retours sur l'architecture, le modèle de sécurité, les cas d'utilisation et les tests généraux dans l'environnement sandbox.