Le serveur MCP pop-pay ajoute des garde-fous de paiement pour les agents Claude Code.

pop-pay est un serveur MCP conçu spécifiquement pour les utilisateurs de Claude Code qui ont besoin que leurs agents IA gèrent des achats de manière autonome sans exposer les véritables numéros de carte de crédit. L'outil répond aux préoccupations de sécurité comme les boucles d'hallucination, les injections de prompt ou les mauvais appels d'outils qui pourraient conduire à l'extraction de cartes ou à des frais non autorisés.

Fonctionnement

La configuration implique trois étapes :

• Exécuter pop-launch — démarre Chrome avec CDP activé et affiche les commandes exactes claude mcp add pour votre machine
• Ajouter le serveur MCP pop-pay et le MCP Playwright (les deux en une seule étape)
• Ajouter un court bloc à votre CLAUDE.md

Lorsque Claude atteint une page de paiement, il appelle request_virtual_card(). pop-pay évalue l'intention par rapport à votre politique, et si elle est approuvée, injecte directement les informations de carte dans l'iframe de paiement via CDP. Claude ne reçoit qu'une confirmation masquée (comme ****-****-****-4242) — le PAN brut n'entre jamais dans la fenêtre de contexte.

Fonctionnalités de sécurité

Le renforcement de la sécurité dans les versions v0.6.0 à v0.6.4 inclut :

• Exécuter pop-init-vault — chiffre vos informations de carte dans ~/.config/pop-pay/vault.enc (configuration unique)
• Les informations d'identification sont stockées dans un coffre chiffré AES-256-GCM — pas de .env en texte clair
• La version PyPi compile le sel de dérivation de clé dans une extension Cython ; le sel n'existe jamais en tant qu'objet Python — seule la clé dérivée finale existe
• SQLite ne stocke jamais les numéros de carte bruts ou le CVV
• Une protection TOCTOU au moment de l'injection empêche les attaques de redirection vers un attaquant entre l'approbation et l'injection

Les tests de l'équipe rouge ont révélé et corrigé trois problèmes : une fonction get_compiled_salt() divulguant le sel compilé (corrigé dans v0.6.1), un scan strings révélant le sel en texte clair (corrigé par un obfuscation XOR dans v0.6.2), et une voie d'attaque par rétrogradation où un agent pouvait supprimer le .so et forcer un nouveau chiffrement avec le sel public (bloqué par un marqueur .vault_mode détectant les altérations dans v0.6.4). La version actuelle est v0.6.17.

Système de protection à deux niveaux

Le système utilise deux niveaux de protection :

• Niveau 1 (toujours actif) : Moteur de mots-clés + motifs — détecte les boucles d'hallucination, les tentatives d'injection de prompt dans la charge utile de raisonnement, les URL de phishing. Coût API nul, fonctionne localement.
• Niveau 2 (optionnel) : Évaluation sémantique par LLM — pour les cas ambigus. Utilise n'importe quel point de terminaison compatible OpenAI, y compris les modèles locaux. Le niveau 2 ne s'exécute que si le niveau 1 est passé, évitant les coûts en tokens sur les rejets évidents.

Configuration des politiques

Les utilisateurs définissent leurs propres politiques avec des variables d'environnement :

POP_ALLOWED_CATEGORIES=["aws", "github", "stripe"]
POP_MAX_PER_TX=50.0
POP_MAX_DAILY=200.0

Si Claude tente d'acheter quelque chose en dehors de la liste autorisée — même avec une raison convaincante — il est bloqué.

Le développeur sollicite les retours de toute personne travaillant avec Claude Code + MCP, notamment sur la robustesse de l'approche d'injection CDP sur les sites réels et les flux de paiement qui pourraient perturber ce type d'injection DOM.