xendit-mcp (solo lectura)

Servidor MCP minimalista de solo lectura para Xendit. Creado para el agente CareNow Issue Resolver: busca pagos, desembolsos, reembolsos y transacciones de VA. Nunca mueve dinero.

No oficial. No está afiliado ni respaldado por Xendit.

¿Por qué solo lectura?

Los agentes no deberían poder llamar a create_disbursement, create_refund o expire_invoice, ni siquiera mediante inyección de prompts desde un campo del lado de Xendit. Este servidor expone solo endpoints GET. Para una defensa en profundidad, utilice también una clave de API de Xendit con permisos limitados a *_READ.

Instalación y ejecución

No es necesario clonar. Instale directamente desde GitHub mediante npx:

{
  "mcpServers": {
    "xendit": {
      "command": "npx",
      "args": ["-y", "github:indratjhai/xendit-mcp"],
      "env": {
        "XENDIT_API_KEY": "xnd_development_..."
      }
    }
  }
}

En la primera ejecución, npm clona el repositorio, instala las dependencias y ejecuta npm run build a través del script prepare. Después de eso, se inicia desde la instalación en caché.

Fije un commit específico para la reproducibilidad:

"args": ["-y", "github:indratjhai/xendit-mcp#<commit-sha>"]

Desarrollo local

git clone https://github.com/indratjhai/xendit-mcp.git
cd xendit-mcp
npm install
cp .env.example .env  # fill in XENDIT_API_KEY
npm run dev

Clave de API

Vaya a https://dashboard.xendit.co/settings/developers#api-keys
Cree una clave con permisos de solo LECTURA:
- BALANCE_READ
- INVOICE_READ
- TRANSACTION_READ
- DISBURSEMENT_READ
- REFUND_READ
- PAYMENT_REQUEST_READ
Utilice una clave de prueba xnd_development_... durante el desarrollo.

Herramientas

Herramienta	Propósito
`xendit_get_balance`	Saldo de la cuenta por tipo (CASH / HOLDING / TAX)
`xendit_list_invoices`	Filtrar por external_id, estado, rango de fechas
`xendit_get_invoice`	Factura por ID
`xendit_list_transactions`	Herramienta principal: filtrar por reference_id, tipo, canal, fecha
`xendit_get_transaction`	Transacción por ID
`xendit_get_disbursement`	Desembolso por ID
`xendit_get_disbursement_by_external_id`	Desembolso por su referencia
`xendit_list_refunds`	Filtrar por payment_request_id / invoice_id / reference_id
`xendit_get_refund`	Reembolso por ID
`xendit_list_payment_requests`	Nueva API de pagos: filtrar por reference_id
`xendit_get_payment_request`	Solicitud de pago por ID
`xendit_get_fixed_va`	Cuenta virtual: para investigaciones de VA incorrectas
`xendit_get_va_payment`	Pago de VA por payment_id

Lo que no está aquí (por diseño)

create_invoice, expire_invoice
create_disbursement
create_refund
create_payment_request
Cualquier POST / PATCH / DELETE

Si un flujo de trabajo necesita una mutación, debe realizarse manualmente en el panel de control de Xendit o mediante un flujo de aprobación independiente que revise un humano, no desde una sesión de agente.

Notas de seguridad

La clave de API se lee desde la variable de entorno XENDIT_API_KEY. Nunca se registra, nunca se envía a la salida de la herramienta.
La salida de red está codificada como https://api.xendit.co: no hay otros hosts.
Los ID de los componentes de ruta se validan contra ^[a-zA-Z0-9_-]+$ y se codifican en URL.
Todas las entradas de las herramientas están validadas con zod.
Solo dependencias en tiempo de ejecución: @modelcontextprotocol/sdk, zod.