pop-pay MCP server adiciona guardrails de pagamento para agentes Claude Code

pop-pay é um servidor MCP projetado especificamente para usuários do Claude Code que precisam que seus agentes de IA realizem compras de forma autônoma sem expor números reais de cartão de crédito. A ferramenta aborda preocupações de segurança como loops de alucinação, injeções de prompt ou chamadas incorretas de ferramentas que poderiam levar à extração de cartões ou cobranças não autorizadas.

Como funciona

A configuração envolve três etapas:

• Execute pop-launch — inicia o Chrome com CDP habilitado e imprime os comandos exatos claude mcp add para sua máquina
• Adicione o servidor MCP pop-pay e o MCP Playwright (ambos em uma etapa)
• Adicione um pequeno bloco ao seu CLAUDE.md

Quando Claude chega a uma página de checkout, ele chama request_virtual_card(). pop-pay avalia a intenção com base em sua política e, se aprovada, injeta as credenciais do cartão diretamente no iframe de pagamento via CDP. Claude recebe apenas uma confirmação mascarada (como ****-****-****-4242) — o PAN bruto nunca entra na janela de contexto.

Recursos de segurança

O reforço de segurança nas versões v0.6.0 a v0.6.4 inclui:

• Execute pop-init-vault — criptografa suas credenciais de cartão em ~/.config/pop-pay/vault.enc (configuração única)
• As credenciais são armazenadas em um cofre criptografado AES-256-GCM — sem .env em texto simples
• A compilação do PyPI incorpora o salt de derivação de chave em uma extensão Cython; o salt nunca existe como um objeto Python — apenas a chave derivada final existe
• O SQLite nunca armazena números de cartão brutos ou CVV
• Um guarda TOCTOU no momento da injeção previne ataques de redirecionamento para atacantes entre a aprovação e a injeção

Testes de equipe vermelha revelaram e corrigiram três problemas: uma função get_compiled_salt() vazando o salt compilado (corrigido em v0.6.1), varredura strings revelando salt em texto simples (corrigido com ofuscação XOR em v0.6.2) e um caminho de ataque de downgrade onde um agente poderia excluir o .so e forçar nova criptografia com o salt público (bloqueado por um marcador .vault_mode à prova de violação em v0.6.4). A versão atual é v0.6.17.

Sistema de guardrail de duas camadas

O sistema usa duas camadas de proteção:

• Camada 1 (sempre ativa): Mecanismo de palavras-chave + padrões — detecta loops de alucinação, tentativas de injeção de prompt na carga de raciocínio, URLs de phishing. Custo zero de API, executa localmente.
• Camada 2 (opcional): Avaliação semântica LLM — para casos imprecisos. Usa qualquer endpoint compatível com OpenAI, incluindo modelos locais. A Camada 2 só é executada se a Camada 1 passar, evitando custos de token em rejeições óbvias.

Configuração de política

Os usuários definem suas próprias políticas com variáveis de ambiente:

POP_ALLOWED_CATEGORIES=["aws", "github", "stripe"]
POP_MAX_PER_TX=50.0
POP_MAX_DAILY=200.0

Se Claude tentar comprar algo fora da lista permitida — mesmo com uma razão convincente — ele será bloqueado.

O desenvolvedor está buscando feedback de qualquer pessoa que esteja desenvolvendo com Claude Code + MCP, especificamente sobre se a abordagem de injeção CDP se mantém em sites reais e quais fluxos de checkout podem quebrar esse tipo de injeção DOM.