Voltar as noticias
Construindo a camada de confiança para o comércio de agentes: 8.560 habilidades MCP, x402, mandatos AP2
MCP ProtocolAltaEN

Construindo a camada de confiança para o comércio de agentes: 8.560 habilidades MCP, x402, mandatos AP2

Dev.to - MCP·2 de julho de 2026

Quando a Anthropic doou o MCP para a Linux Foundation em dezembro de 2025, a descoberta foi resolvida. Mas a confiança não.

Uma análise independente encontrou ~64,7 milhões de entradas de servidor de apenas 1.691 pacotes únicos — duplicação maciça, zero sinal e ataques ativos à cadeia de suprimentos (pacotes npm roubando carteiras, pacotes PyPI exfiltrando conversas de agentes).

Essa é a cunha que estou construindo MarketNow contra.

O que o MarketNow faz

1. Auditoria de segurança Sentinel L1.5 em cada habilidade

Escaneamento de segurança MCP em 6 pontos: AUTORIZAÇÃO, injeção de descrição da ferramenta, validação de entrada, CORS, escopos OAuth, limitação de taxa. Metodologia publicada, re-executável, código aberto.

2. Status de revisão honesto

Cada habilidade tem um dos seguintes: auto-scanned (8.517) | human-reviewed (43) | maintainer-verified (0). O legado verified: true está obsoleto. Nunca afirmamos "verificado" sem merecê-lo.

3. pagamentos x402 (HTTP 402)

O endpoint de compra de agentes retorna HTTP 402 com cabeçalhos de desafio de pagamento:

HTTP/2 402
www-authenticate: x402 realm="marketnow", chain="base", token="USDC"
x-payment-amount: 1990000
x-payment-to: 0x39Dddf5aEdb58A559CF195fB8bdF23F0604Bf5Ee

Governado pela Linux Foundation (Coinbase, Cloudflare, Stripe, Google, Visa).

4. Mandatos compatíveis com AP2 — humano no loop por padrão

  • Padrão: notificar (humano recebe alerta em cada compra)
  • Silencioso: requer confirmSilentAutonomy=true explícito
  • Limites rígidos: $500 no total, $50 por compra, expiração de 90 dias

5. GitHub como um banco de dados

Cada transação de mandato é um commit git em _data/mandates/. Registro de auditoria público, bloqueio otimista baseado em SHA, sem banco de dados externo.

O que Claude me ensinou

Um revisor de agente de IA sinalizou 7 problemas. Eu implementei todos os 7 e publiquei o roteiro em /trust. A mudança chave: humano no loop agora é o PADRÃO, não uma opção de saída.

Claude também disse: "Aunque MarketNow mejorara en todo, yo seguiría sin hacer compras de forma autónoma." Essa é uma política, não um bug. O mercado para gastos de agentes autônomos é Cursor, Cline, Aider — não chatbots.

Estatísticas

  • 8.560 habilidades MCP (0 sintéticas)
  • 58 categorias (14 divulgadas como importadas em massa)
  • 5 idiomas: EN, ES, ZH, PT, FR
  • $0,99–$9,99 uma única vez, sem assinaturas
  • Código aberto MIT, fundador solo, Equador

Links

Feedback desejado:

  1. É o HTTP 402 com cabeçalhos de desafio de pagamento a abordagem x402 correta?
  2. Estou louco por usar o GitHub como um banco de dados para mandatos?
  3. O "nível de confiança, não o maior catálogo" ressoa?

— Edison Flores, AliceLabs LLC

Contexto Triplo Up

O artigo aborda a segurança e a confiança em transações de agentes, um tema crucial para empresas que desejam integrar agentes de IA em seus processos. A implementação de auditorias e mandatos pode ajudar a mitigar riscos e aumentar a confiança dos usuários.

Noticias relacionadas

Gostou do conteudo?

Receba toda semana as principais novidades sobre WebMCP.