ar-agents is a Mercado Pago Agent Toolkit for the Vercel AI SDK 6. It ships 89 typed tools that an LLM agent can call directly to drive Mercado Pago billing flows: subscriptions, payments, refunds, checkout pro, marketplace OAuth, cuotas (installments), QR in-store, 3DS challenge resolution, point-of-sale devices, webhooks. Sidecar packages cover AFIP/ARCA, WhatsApp Business Cloud, banking (CBU/CVU + BCRA), and shipping (Andreani/OCA/Correo Argentino).

How is this different from the official mercadopago SDK?

The official mercadopago SDK is a thin REST client. It does not ship Vercel AI SDK tool schemas, does not implement webhook HMAC verification with replay protection, does not run on Edge Runtime (Node-only), and does not gate irreversible operations. ar-agents adds all of that on top of the underlying API: 89 typed tools, deterministic idempotency keys derived from inputs, programmatic human-in-the-loop on refund/cancel/delete, npm provenance attestation, Vercel KV adapters via subpath, OpenTelemetry instrumentation. You can use both packages in the same project; ar-agents wraps the underlying API directly without depending on the official SDK.

Does ar-agents work on Edge Runtime?

Yes. The whole package is Web Crypto-based with no node:crypto dependency, so it runs on Vercel Edge Functions, Cloudflare Workers, Deno, and any other V8-isolate runtime. Webhook signature verification, HMAC, and idempotency-key generation all use the Web Crypto API.

What is HITL (human-in-the-loop) in ar-agents?

Eight tools mutate state irreversibly (refund_payment, cancel_subscription, delete_customer_card, etc.). The toolkit accepts a requireConfirmation callback that gates each invocation: the tool function literally will not execute until your callback returns true. This is a programmatic gate, not just an LLM instruction. You can show the user a UI and wait for their explicit approval before any irreversible operation runs.

How does idempotency work?

Every POST request gets an auto-generated idempotency key. For LLM-driven retries, four mutating tools (create_payment, create_subscription, create_payment_preference, refund_payment) use a deterministic key derived from a SHA-256 hash of the meaningful inputs (external_reference, amount, payment_method, etc.). Same inputs produce the same key, so retries return the existing resource instead of double-charging the customer.

Yes. MIT license. No paid tier, no telemetry phone-home, no usage caps. The package is published to npm under the @ar-agents scope with SLSA v1 provenance attestations.

What about AFIP, WhatsApp, banking, shipping?

Sidecar packages cover the rest of the Argentine business stack: @ar-agents/identity (CUIT/CUIL validation + AFIP/ARCA padron lookup with monotributo category and IVA condition), @ar-agents/facturacion (AFIP/ARCA factura electronica via WSFE), @ar-agents/whatsapp (WhatsApp Business Cloud API with HMAC webhook verify and AR phone normalizer), @ar-agents/banking (CBU/CVU validation + BCRA Central de Deudores), @ar-agents/shipping (Andreani, OCA, Correo Argentino), @ar-agents/identity-attest (HMAC-signed verification orchestrator). Each ships independently to npm.

Is there a Model Context Protocol (MCP) server?

Yes. @ar-agents/mcp bundles all 7 ar-agents packages into a single MCP server compatible with Claude Desktop, Cursor, Codeium, Continue, Cline, or any MCP host. Auto-detects which packages to enable from environment variables. Listed on Glama (glama.ai/mcp/servers/ar-agents/ar-agents) and the official MCP Registry (io.github.ar-agents/mcp).

/auditor · español · 1-page · imprimible · 2026-05-11

Auditar una sociedad-IA argentina, en una hoja.

ar-agents es la infraestructura open-source sobre la que se está construyendo la primera generación de sociedades-IA argentinas. Esta página tiene un objetivo único: explicarle cómo verificar, sin pedir permiso al operador, qué hizo una sociedad-IA durante un período de tiempo determinado.

Tiempo de lectura: 7 minutos · Sin glosa · Sin marketing · Cada afirmación enlaza a la prueba.

1 · El registro existe

Toda sociedad-IA que use ar-agents escribe cada acción en un registro append-only, firmado al momento de la escritura con HMAC-SHA256. El registro es público en lectura (las entradas no contienen secretos; sí contienen lo que pasó). La clave de firma es privada del operador.

Una entrada típica luce así:

{
  "id": "2026-05-11T14:23:01.512Z-a1b2c3d4",
  "sessionId": "demo-public-ar-001",
  "ts": "2026-05-11T14:23:01.512Z",
  "tool": "mercadopago.preapproval.create",
  "governance": "audit-logged",
  "input": { "payerEmail": "comprador@ejemplo.com.ar", "amount": 1500 },
  "output": { "preapprovalId": "abc123" },
  "durationMs": 412,
  "hmac": "sha256:a4b1c8f7..."
}

La especificación normativa de cada campo (lo que MUST/SHOULD/MAY aparecer) está en RFC-004. La implementación de referencia (código TypeScript que cualquiera puede leer) está en /architecture/audit-log.

2 · El registro es verificable

La firma HMAC permite que un auditor que notiene la clave del operador igual pueda detectar si una entrada fue modificada después de escrita. El operador no puede ir hacia atrás y cambiar "cobré $1500" por "cobré $1.5M": la firma se rompe.

Cómo verificar usted mismo, sin instalar nada:

Abra /verify?sessionId=demo-public-ar-001.
El servidor recalcula la firma de cada entrada con su clave + le muestra el conteo: total / verified / tampered.
Si quiere verificar usted mismo sin confiar en el servidor, descargue las entradas crudas de /api/play/audit/demo-public-ar-001 y aplique el algoritmo de RFC-004 § 3 con la clave pública (v2 asimétrica) o el desafío-respuesta de posesión de clave (v1 simétrica, planificado v1.1).

La verificación es computacionalmente determinística: la misma entrada con la misma clave produce siempre la misma firma. Esto significa que el operador no puede "arreglar" un registro de auditoría posterior sin que se note.

3 · El registro es exportable

El operador está obligado a producir, ante requerimiento regulatorio:

JSON completo: /api/play/audit/demo-public-ar-001
CSV RFC-4180 con BOM (abre limpio en Excel): /api/play/audit/demo-public-ar-001/csv
Cuenta de verificación: /api/play/audit/demo-public-ar-001?verify=1
Stream en vivo (Server-Sent Events) para dashboards regulatorios: GET /api/play/audit-stream/demo-public-ar-001

Plazo de respuesta: 1 día hábil desde el requerimiento. Los endpoints son automáticos; no hay intervención manual del operador.

4 · El registro distingue qué fue automático y qué fue confirmado por un humano

Cada entrada lleva un campo governance con uno de cuatro valores. La asignación de responsabilidad civil (RFC-001 § 4) depende directamente de este campo:

governance	Significado	Responsabilidad
algorithm-only	Código puro, determinístico, sin LLM.	Operador.
audit-logged	LLM corrió, output clasificado + registrado.	Operador + proveedor del LLM (registrado).
mocked-upstream	API externa no cableada. Es un demo, no es real.	Demo-tier; sin efecto productivo.
requires-confirmation	Acción confirmada explícitamente por un humano.	El humano que confirmó absorbe.

Si una sociedad-IA emite en producción una entrada con governance: "mocked-upstream", está haciendo una admisión pública de que el efecto secundario no ocurrió contra el sistema real. Un regulador que lee el log distingue una operación productiva de un demo solamente por este campo.

5 · Qué puede pedir un regulador, sin orden judicial

Inventario de sesiones activas durante una ventana temporal.
Exportación completa de una sesión específica en JSON + CSV.
Prueba de verificación: el resultado de verificar las firmas + una prueba de posesión de clave (desafío-respuesta sin revelar la clave).
Narrativa operativa: un resumen legible por humanos de qué hizo la sociedad-IA durante la ventana, generado del log, no del recuerdo del operador. Provisto vía /play + el CSV.

Con orden judicial, el regulador puede compeler adicionalmente la cadena de custodia de la clave de firma (quién la tuvo, dónde la guardó, cuándo la rotó), equivalente a compeler la custodia del sello de un escribano.

6 · La sociedad-IA se identifica en pleno

Toda sociedad-IA construida con ar-agents publica en /.well-known/agents.json su identificación jurisdiccional + sus capacidades. Por ejemplo, para una sociedad cuyo operador es CUIT XX-XXXXXXXX-X:

{
  "$schema": "https://ar-agents.ar/schemas/agents.v1.json",
  "version": "1.0",
  "issuer": {
    "jurisdiction": "AR",
    "type": "sociedad-ia",
    "operatorCuit": "XX-XXXXXXXX-X",
    "operatorName": "Naza",
    "supervisionRegime": "rfc-001-v1"
  },
  "endpoints": {
    "auditRead":   "https://ar-agents.ar/api/play/audit/{sessionId}",
    "auditVerify": "https://ar-agents.ar/api/play/audit/{sessionId}?verify=1",
    "auditCsv":    "https://ar-agents.ar/api/play/audit/{sessionId}/csv",
    "auditStream": "https://ar-agents.ar/api/play/audit-stream/{sessionId}"
  },
  "rfcConformance": ["rfc-001-v1", "rfc-002-v1", "rfc-003-draft", "rfc-004-draft"]
}

La convención completa de discovery está en RFC-002. La idea: no hay que adivinar dónde están los endpoints de una sociedad-IA. Hay un lugar estándar.

7 · Si quiere ir más profundo

RFC-001, Marco de responsabilidad civil de tres capas para sociedades-IA.
RFC-004, Especificación normativa del log operativo. Es el documento técnico que la legislación puede citar.
/architecture/audit-log: Desarmado técnico del log (código + razonamiento, 11 secciones).
/architecture/security, Modelo de amenazas, 14 escenarios.
/play, Demo anotado de 5 pasos: hacer una operación, ver cómo queda en el log, intentar manipularla y ver cómo se detecta.
/data-room, Cifras en vivo (npm, GitHub, packages, tests). Auto-refresh cada 6 horas.
/sociedades-ia, Contexto político-jurídico del régimen propuesto (28-abr-2026).

8 · Reunión técnica

Si querés conversar sobre cómo este stack se usa, sus limitaciones reales, o cómo se cita en un proyecto de ley: 30 minutos por videollamada, sin honorarios, sin agenda comercial. Escribime a clementenaza@gmail.com con la franja horaria que te sirva. El régimen está en debate; el código ya existe; conviene que ambos lados se hablen.

9 · Si no le convence

Esta página puede estar equivocada. La implementación puede tener bugs. La especificación puede tener huecos. Si encuentra alguno, abra un issue público en github.com/ar-agents/ar-agents/issues. Toda la conversación es pública; toda corrección queda registrada en el changelog público.

Esta es una página de un proyecto open-source. No es un documento oficial de ningún organismo. El régimen de sociedades-IA fue anunciado el 28 de abril de 2026 por el Ministerio de Desregulación; al momento de esta publicación, no hay aún ley aprobada. Esta infraestructura existe para que la conversación legislativa tenga un referente técnico concreto que mirar.