Eu construí um servidor MCP que cobra agentes de IA por chamada usando micropagamentos x402

Por Toolstem

Você construiu um servidor MCP. Os agentes o chamam. Você paga os custos da API. Eles não pagam nada. Cada invocação de tools/call consome alguns centavos do seu orçamento enquanto o agente que a acionou não tem ideia — e nenhum incentivo para se importar. A resposta padrão é "embalar em uma assinatura SaaS", mas isso requer um humano no loop para se inscrever, inserir um cartão e gerenciar um relacionamento de cobrança. A maioria dos agentes não tem humanos observando cada chamada. E se o agente simplesmente pagasse por seus próprios dados, automaticamente, sem um humano em nenhum lugar do loop?

Foi isso que eu construí. Aqui está o que eu aprendi.

O que é realmente o x402

HTTP 402 — "Pagamento Necessário" — existe desde 1996. Foi reservado para uso futuro e então essencialmente esquecido por 28 anos. O protocolo x402 o revive como um padrão de pagamento máquina-a-máquina baseado no EIP-3009.

O fluxo é assim:

1. O agente acessa seu endpoint com uma solicitação normal
2. O servidor retorna HTTP 402 com um corpo JSON: valor do pagamento, endereço do destinatário, rede, token, nonce
3. O agente assina uma transferWithAuthorization EIP-3009 — uma transferência USDC pré-autorizada que o servidor pode enviar em nome do agente
4. O agente tenta novamente a solicitação com um cabeçalho X-Payment contendo a autorização assinada
5. O servidor verifica a assinatura na cadeia, envia a transferência e responde com os dados
6. Liquidação confirmada em menos de 2 segundos na mainnet Base; o gás é aproximadamente $0.001

Sem conta Stripe. Sem fluxo OAuth. Sem inscrição humana. Sem esperar por uma fatura mensal. O agente paga exatamente o que usou, liquidado atomicamente, sem nunca precisar de ETH para gás (o servidor envia a transferência, então apenas o servidor precisa de um pequeno saldo de ETH para gás — o agente só precisa de USDC).

Esse é o "HTTP + pagamento" primitivo que deveria ter existido o tempo todo. Está pré-produto-adequação ao mercado, mas a mecânica subjacente é sólida.

A arquitetura

A infraestrutura central é um Cloudflare Worker atuando como um proxy de paywall. Ele fica entre a internet pública e seu servidor MCP upstream, interceptando cada solicitação antes de encaminhá-la.

Agente → Cloudflare Worker (paywall x402) → Servidor MCP Upstream → Fontes de dados

O Worker gerencia o ciclo de vida do pagamento:

• Recebe a solicitação
• Verifica se há um cabeçalho X-Payment válido
• Se ausente: retorna 402 com detalhes do pagamento
• Se presente: verifica a assinatura EIP-3009, verifica a frescura do nonce e o valor, envia a transferência na cadeia
• Encaminha para o MCP upstream apenas em caso de verificação bem-sucedida

Uma restrição não óbvia: initialize e tools/list devem ser gratuitos. Os agentes precisam descobrir sua superfície de ferramentas antes de decidirem se vão pagar. Se você cobrar pela descoberta, nunca será chamado. Qualquer verificação de saúde de diretório (Glama, mcp.so, PulseMCP) também espera uma resposta gratuita de tools/list — se você colocar um paywall, você sai das listagens. O Cloudflare Worker roteia esses dois tipos de mensagens MCP para um caminho não medido.

Precificação por ferramenta é onde o modelo se torna interessante. Nosso servidor SEC EDGAR opera em três níveis:

Um resumo de arquivamentos é uma consulta EDGAR. compareDisclosureSignals faz a referência cruzada de negociações de insiders, movimentos institucionais 13F e clusters 8-K entre várias empresas. A diferença de computação é de aproximadamente 100x — então a diferença de preço é 100x. A precificação fixa trata-os de forma idêntica, o que significa que você está subsidiando cada chamada cara com a receita das chamadas baratas.

O servidor Finance MCP (nosso primeiro servidor) foi lançado a um preço fixo de $0.005 em todas as ferramentas. Seis semanas depois, tivemos $0 de receita. Aquela tabela acima é a lição.

Código: lado do agente

A integração LangChain envolve a camada de pagamento em uma função fetch personalizada. Todo o resto é código padrão do agente.

TypeScript / LangChain.js:

import { createReactAgent } from "@langchain/langgraph/prebuilt";
import { createFinanceTools } from "langchain-toolstem/finance";
import { createX402Fetch } from "langchain-toolstem/x402";

// fetch que assina automaticamente pagamentos USDC em HTTP 402
const fetchPay = await createX402Fetch({
  privateKey: process.env.X402_PRIVATE_KEY!,
  maxPaymentUsd: 0.05, // limite de segurança por chamada
});

// descobre ferramentas ao vivo via MCP tools/list (gratuito)
const tools = await createFinanceTools({ fetch: fetchPay});

const agent = createReactAgent({ llm, tools });
// cada tools/call custa $0.01 USDC, liquidado na mainnet Base

O wrapper createX402Fetch intercepta qualquer resposta 402, assina a autorização EIP-3009 usando a chave privada do agente e tenta novamente de forma transparente. O limite maxPaymentUsd é uma proteção — o agente se recusa a assinar qualquer autorização acima desse limite, protegendo contra um servidor mal configurado ou malicioso que cita um preço inesperado.

As ferramentas são descobertas ao vivo via tools/list na inicialização (gratuito, não medido), então o agente sempre vê a superfície de ferramentas atual sem nada codificado no pacote.

Python / LangChain: