팝페이 MCP 서버는 클로드 코드 에이전트에 결제 안전장치를 추가합니다

pop-pay는 Claude Code 사용자를 위해 특별히 설계된 MCP 서버로, AI 에이전트가 실제 신용카드 번호를 노출하지 않고 자율적으로 구매를 처리할 수 있도록 합니다. 이 도구는 환각 루프, 프롬프트 주입 또는 잘못된 도구 호출과 같은 보안 문제를 해결하여 카드 추출 또는 무단 청구로 이어질 수 있는 위험을 방지합니다.

작동 방식

설정은 세 단계로 이루어집니다:

• pop-launch 실행 — CDP가 활성화된 Chrome을 시작하고 사용자의 컴퓨터에 대한 정확한 claude mcp add 명령을 출력합니다
• pop-pay MCP 서버와 Playwright MCP를 추가합니다(한 단계로 둘 다)
• CLAUDE.md에 짧은 블록을 추가합니다

Claude가 결제 페이지에 도달하면 request_virtual_card()를 호출합니다. pop-pay는 의도를 사용자의 정책에 대해 평가하고, 승인되면 CDP를 통해 카드 자격 증명을 결제 iframe에 직접 주입합니다. Claude는 마스킹된 확인 번호(예: ****-****-****-4242)만 받습니다 — 원시 PAN은 컨텍스트 창에 들어가지 않습니다.

보안 기능

v0.6.0부터 v0.6.4까지의 버전에서 강화된 보안 기능은 다음과 같습니다:

• pop-init-vault 실행 — 카드 자격 증명을 ~/.config/pop-pay/vault.enc로 암호화합니다(일회성 설정)
• 자격 증명은 AES-256-GCM 암호화된 금고에 저장됩니다 — 일반 텍스트 .env 없음
• PyPI 빌드는 키 파생 솔트를 Cython 확장으로 컴파일합니다; 솔트는 Python 객체로 존재하지 않으며 최종 파생 키만 존재합니다
• SQLite는 원시 카드 번호나 CVV를 저장하지 않습니다
• 주입 시 TOCTOU 가드는 승인과 주입 사이의 공격자 리디렉션 공격을 방지합니다

레드 팀 테스트에서 세 가지 문제가 발견되어 수정되었습니다: 컴파일된 솔트를 유출하는 get_compiled_salt() 함수(v0.6.1에서 수정), 일반 텍스트 솔트를 드러내는 strings 스캐닝(v0.6.2에서 XOR 난독화로 패치), 에이전트가 .so를 삭제하고 공개 솔트로 재암호화를 강제할 수 있는 다운그레이드 공격 경로(v0.6.4에서 변조 감지 가능한 .vault_mode 마커로 차단). 현재 릴리스는 v0.6.17입니다.

이중 레이어 가드레일 시스템

시스템은 두 가지 보호 레이어를 사용합니다:

• 레이어 1(항상 활성화): 키워드 + 패턴 엔진 — 환각 루프, 추론 페이로드의 프롬프트 주입 시도, 피싱 URL을 감지합니다. API 비용 없음, 로컬에서 실행됩니다.
• 레이어 2(선택 사항): LLM 의미 평가 — 모호한 경우에 사용합니다. 로컬 모델을 포함한 모든 OpenAI 호환 엔드포인트를 사용합니다. 레이어 2는 레이어 1을 통과한 경우에만 실행되어 명백한 거부 시 토큰 비용을 피합니다.

정책 구성

사용자는 환경 변수로 자신의 정책을 정의합니다:

POP_ALLOWED_CATEGORIES=["aws", "github", "stripe"]
POP_MAX_PER_TX=50.0
POP_MAX_DAILY=200.0

Claude가 허용 목록 외부의 무언가를 구매하려고 하면 — 설득력 있는 이유가 있어도 — 차단됩니다.

개발자는 Claude Code + MCP로 구축하는 모든 사람들로부터 피드백을 구하고 있으며, 특히 CDP 주입 방식이 실제 사이트에서 유효한지, 그리고 어떤 결제 흐름이 이러한 종류의 DOM 주입을 방해할 수 있는지에 대해 묻고 있습니다.