pop-pay MCPサーバーは、Claude Codeエージェントに支払いガードレールを追加します。

pop-payは、実際のクレジットカード番号を公開せずにAIエージェントが自律的に購入を処理する必要があるClaude Codeユーザー向けに特別に設計されたMCPサーバーです。このツールは、カード情報の抽出や不正請求につながる可能性のある、幻覚ループ、プロンプトインジェクション、不正なツール呼び出しなどのセキュリティ上の懸念に対処します。

仕組み

セットアップには3つのステップがあります：

• pop-launchを実行 — CDPを有効にしてChromeを起動し、お使いのマシン用の正確なclaude mcp addコマンドを表示します
• pop-pay MCPサーバーとPlaywright MCPを追加（両方を1ステップで）
• CLAUDE.mdに短いブロックを追加

Claudeがチェックアウトページに到達すると、request_virtual_card()を呼び出します。pop-payは意図をポリシーに対して評価し、承認されると、CDPを介してカード認証情報を支払いiframeに直接インジェクトします。Claudeはマスクされた確認番号（例：****-****-****-4242）のみを受け取ります — 生のPANはコンテキストウィンドウに入ることはありません。

セキュリティ機能

バージョンv0.6.0からv0.6.4までのセキュリティ強化には以下が含まれます：

• pop-init-vaultを実行 — カード認証情報を~/.config/pop-pay/vault.encに暗号化（1回限りのセットアップ）
• 認証情報はAES-256-GCM暗号化されたボールトに保存 — 平文の.envはありません
• PyPIビルドは鍵導出ソルトをCython拡張にコンパイルします。ソルトはPythonオブジェクトとして存在せず、最終的な導出鍵のみが存在します
• SQLiteは生のカード番号やCVVを保存しません
• インジェクション時のTOCTOUガードにより、承認とインジェクションの間の攻撃者へのリダイレクト攻撃を防止します

レッドチームテストで3つの問題が発見され修正されました：コンパイルされたソルトを漏洩するget_compiled_salt()関数（v0.6.1で修正）、平文ソルトを明らかにするstringsスキャン（v0.6.2でXOR難読化でパッチ適用）、エージェントが.soを削除して公開ソルトで再暗号化を強制できるダウングレード攻撃経路（v0.6.4で改ざん検出可能な.vault_modeマーカーでブロック）。現在のリリースはv0.6.17です。

二層ガードレールシステム

このシステムは2層の保護を使用します：

• 第1層（常時有効）：キーワード＋パターンエンジン — 幻覚ループ、推論ペイロード内のプロンプトインジェクション試行、フィッシングURLを検出します。APIコストゼロ、ローカルで実行。
• 第2層（オプション）：LLMセマンティック評価 — 曖昧なケース用。ローカルモデルを含むOpenAI互換エンドポイントを使用します。第2層は第1層が通過した場合のみ実行され、明らかな拒否でのトークンコストを回避します。

ポリシー設定

ユーザーは環境変数で独自のポリシーを定義します：

POP_ALLOWED_CATEGORIES=["aws", "github", "stripe"]
POP_MAX_PER_TX=50.0
POP_MAX_DAILY=200.0

Claudeが許可リスト外のものを購入しようとした場合 — 説得力のある理由があっても — ブロックされます。

開発者は、Claude Code + MCPで構築している方からのフィードバックを求めています。特に、CDPインジェクションアプローチが実際のサイトで有効かどうか、およびどのチェックアウトフローがこの種のDOMインジェクションを妨げる可能性があるかについてです。