pop-pay MCP сервер добавляет платежные ограничения для агентов Claude Code.

pop-pay — это MCP-сервер, разработанный специально для пользователей Claude Code, которым нужно, чтобы их ИИ-агенты могли автономно обрабатывать покупки без раскрытия реальных номеров кредитных карт. Инструмент решает проблемы безопасности, такие как петли галлюцинаций, инъекции промптов или некорректные вызовы инструментов, которые могут привести к извлечению данных карт или несанкционированным списаниям.

Как это работает

Настройка включает три шага:

• Запустите pop-launch — запускает Chrome с включенным CDP и выводит точные команды claude mcp add для вашей машины
• Добавьте MCP-сервер pop-pay и MCP Playwright (оба за один шаг)
• Добавьте короткий блок в ваш CLAUDE.md

Когда Claude достигает страницы оформления заказа, он вызывает request_virtual_card(). pop-pay оценивает намерение согласно вашей политике и, если оно одобрено, внедряет данные карты непосредственно в платежный iframe через CDP. Claude получает только замаскированное подтверждение (например, ****-****-****-4242) — исходный номер карты никогда не попадает в контекстное окно.

Функции безопасности

Усиление безопасности в версиях с v0.6.0 по v0.6.4 включает:

• Запустите pop-init-vault — шифрует данные вашей карты в ~/.config/pop-pay/vault.enc (одноразовая настройка)
• Данные хранятся в зашифрованном хранилище AES-256-GCM — без открытого текста в .env
• Сборка PyPI компилирует соль для вывода ключа в расширение Cython; соль никогда не существует как объект Python — только окончательный производный ключ
• SQLite никогда не хранит исходные номера карт или CVV
• Защита TOCTOU во время инъекции предотвращает атаки перенаправления на злоумышленника между одобрением и внедрением

Тестирование красной командой выявило и исправило три проблемы: утечку скомпилированной соли через функцию get_compiled_salt() (исправлено в v0.6.1), раскрытие открытого текста соли при сканировании strings (исправлено с помощью обфускации XOR в v0.6.2) и путь атаки на понижение версии, где агент мог удалить .so и принудительно выполнить повторное шифрование с публичной солью (блокируется маркером .vault_mode, обнаруживающим вмешательство, в v0.6.4). Текущий выпуск — v0.6.17.

Двухуровневая система защиты

Система использует два уровня защиты:

• Уровень 1 (всегда включен): Движок ключевых слов и шаблонов — обнаруживает петли галлюцинаций, попытки инъекции промптов в полезную нагрузку рассуждений, фишинговые URL. Нулевая стоимость API, работает локально.
• Уровень 2 (опционально): Семантическая оценка LLM — для нечетких случаев. Использует любую конечную точку, совместимую с OpenAI, включая локальные модели. Уровень 2 запускается только если Уровень 1 пройден, избегая затрат на токены при очевидных отказах.

Настройка политики

Пользователи определяют свои собственные политики с помощью переменных окружения:

POP_ALLOWED_CATEGORIES=["aws", "github", "stripe"]
POP_MAX_PER_TX=50.0
POP_MAX_DAILY=200.0

Если Claude пытается купить что-то вне разрешенного списка — даже с убедительно звучащей причиной — это блокируется.

Разработчик ищет обратную связь от всех, кто создает проекты с Claude Code + MCP, особенно о том, насколько подход CDP-инъекции работает на реальных сайтах и какие процессы оформления заказа могут нарушить этот вид DOM-инъекции.