pop-pay MCP server adiciona guardrails de pagamento para agentes Claude Code

pop-pay é um servidor MCP projetado especificamente para usuários do Claude Code que precisam que seus agentes de IA realizem compras de forma autônoma sem expor números reais de cartão de crédito. A ferramenta aborda preocupações de segurança como loops de alucinação, injeções de prompt ou chamadas incorretas de ferramentas que poderiam levar à extração de cartões ou cobranças não autorizadas.
Como funciona
A configuração envolve três etapas:
- Execute
pop-launch— inicia o Chrome com CDP habilitado e imprime os comandos exatosclaude mcp addpara sua máquina - Adicione o servidor MCP pop-pay e o MCP Playwright (ambos em uma etapa)
- Adicione um pequeno bloco ao seu
CLAUDE.md
Quando Claude chega a uma página de checkout, ele chama request_virtual_card(). pop-pay avalia a intenção com base em sua política e, se aprovada, injeta as credenciais do cartão diretamente no iframe de pagamento via CDP. Claude recebe apenas uma confirmação mascarada (como ****-****-****-4242) — o PAN bruto nunca entra na janela de contexto.
Recursos de segurança
O reforço de segurança nas versões v0.6.0 a v0.6.4 inclui:
- Execute
pop-init-vault— criptografa suas credenciais de cartão em~/.config/pop-pay/vault.enc(configuração única) - As credenciais são armazenadas em um cofre criptografado AES-256-GCM — sem
.envem texto simples - A compilação do PyPI incorpora o salt de derivação de chave em uma extensão Cython; o salt nunca existe como um objeto Python — apenas a chave derivada final existe
- O SQLite nunca armazena números de cartão brutos ou CVV
- Um guarda TOCTOU no momento da injeção previne ataques de redirecionamento para atacantes entre a aprovação e a injeção
Testes de equipe vermelha revelaram e corrigiram três problemas: uma função get_compiled_salt() vazando o salt compilado (corrigido em v0.6.1), varredura strings revelando salt em texto simples (corrigido com ofuscação XOR em v0.6.2) e um caminho de ataque de downgrade onde um agente poderia excluir o .so e forçar nova criptografia com o salt público (bloqueado por um marcador .vault_mode à prova de violação em v0.6.4). A versão atual é v0.6.17.
Sistema de guardrail de duas camadas
O sistema usa duas camadas de proteção:
- Camada 1 (sempre ativa): Mecanismo de palavras-chave + padrões — detecta loops de alucinação, tentativas de injeção de prompt na carga de raciocínio, URLs de phishing. Custo zero de API, executa localmente.
- Camada 2 (opcional): Avaliação semântica LLM — para casos imprecisos. Usa qualquer endpoint compatível com OpenAI, incluindo modelos locais. A Camada 2 só é executada se a Camada 1 passar, evitando custos de token em rejeições óbvias.
Configuração de política
Os usuários definem suas próprias políticas com variáveis de ambiente:
POP_ALLOWED_CATEGORIES=["aws", "github", "stripe"]
POP_MAX_PER_TX=50.0
POP_MAX_DAILY=200.0Se Claude tentar comprar algo fora da lista permitida — mesmo com uma razão convincente — ele será bloqueado.
O desenvolvedor está buscando feedback de qualquer pessoa que esteja desenvolvendo com Claude Code + MCP, especificamente sobre se a abordagem de injeção CDP se mantém em sites reais e quais fluxos de checkout podem quebrar esse tipo de injeção DOM.
📖 Leia a fonte completa: r/ClaudeAI
👀 See Also

Pesquisa semântica local para conversas de IA com fastembed e LanceDB
Um desenvolvedor indexou 368 mil mensagens de conversas de IA localmente usando fastembed para embeddings baseados em CPU e LanceDB como armazenamento vetorial serverless, alcançando latência de busca p50 de 12ms sem chaves de API.

Cérebro: Um Sistema de Memória de Erros Persistente para Claude Code via MCP
Brain é um servidor MCP de código aberto que fornece ao Claude Code memória persistente e entre projetos para erros e soluções. Ele captura o contexto do erro, sugere correções comprovadas com pontuações de confiança e constrói uma rede de sinapses ponderada conectando erros, soluções e módulos de código em todos os projetos.

Plugin Aprimorado do Claude Code para Telegram Adiciona Voz, Figurinhas e Tópicos
Um desenvolvedor lançou um fork do plugin oficial do Claude Code para Telegram que adiciona transcrição de mensagens de voz via Whisper, suporte a adesivos/GIFs, encadeamento de conversas e reações com emojis. É uma substituição direta que requer apenas clonar, copiar um arquivo e reiniciar.

Otimizador Gratuito de Sessão Claude: Estimador de Tokens, Compressor de Prompts e Planejador de Sessões
Um desenvolvedor criou uma ferramenta gratuita e sem necessidade de cadastro para ajudar a gerenciar os limites de uso do Claude com três funcionalidades: um estimador de tokens para visualizar o consumo de prompts, um compressor de prompts que reduz prompts em 40-60% removendo frases desnecessárias, e um planejador de sessões que agrupa tarefas para minimizar o recarregamento de contexto.