ar-agents is a Mercado Pago Agent Toolkit for the Vercel AI SDK 6. It ships 89 typed tools that an LLM agent can call directly to drive Mercado Pago billing flows: subscriptions, payments, refunds, checkout pro, marketplace OAuth, cuotas (installments), QR in-store, 3DS challenge resolution, point-of-sale devices, webhooks. Sidecar packages cover AFIP/ARCA, WhatsApp Business Cloud, banking (CBU/CVU + BCRA), and shipping (Andreani/OCA/Correo Argentino).

How is this different from the official mercadopago SDK?

The official mercadopago SDK is a thin REST client. It does not ship Vercel AI SDK tool schemas, does not implement webhook HMAC verification with replay protection, does not run on Edge Runtime (Node-only), and does not gate irreversible operations. ar-agents adds all of that on top of the underlying API: 89 typed tools, deterministic idempotency keys derived from inputs, programmatic human-in-the-loop on refund/cancel/delete, npm provenance attestation, Vercel KV adapters via subpath, OpenTelemetry instrumentation. You can use both packages in the same project; ar-agents wraps the underlying API directly without depending on the official SDK.

Does ar-agents work on Edge Runtime?

Yes. The whole package is Web Crypto-based with no node:crypto dependency, so it runs on Vercel Edge Functions, Cloudflare Workers, Deno, and any other V8-isolate runtime. Webhook signature verification, HMAC, and idempotency-key generation all use the Web Crypto API.

What is HITL (human-in-the-loop) in ar-agents?

Eight tools mutate state irreversibly (refund_payment, cancel_subscription, delete_customer_card, etc.). The toolkit accepts a requireConfirmation callback that gates each invocation: the tool function literally will not execute until your callback returns true. This is a programmatic gate, not just an LLM instruction. You can show the user a UI and wait for their explicit approval before any irreversible operation runs.

How does idempotency work?

Every POST request gets an auto-generated idempotency key. For LLM-driven retries, four mutating tools (create_payment, create_subscription, create_payment_preference, refund_payment) use a deterministic key derived from a SHA-256 hash of the meaningful inputs (external_reference, amount, payment_method, etc.). Same inputs produce the same key, so retries return the existing resource instead of double-charging the customer.

Yes. MIT license. No paid tier, no telemetry phone-home, no usage caps. The package is published to npm under the @ar-agents scope with SLSA v1 provenance attestations.

What about AFIP, WhatsApp, banking, shipping?

Sidecar packages cover the rest of the Argentine business stack: @ar-agents/identity (CUIT/CUIL validation + AFIP/ARCA padron lookup with monotributo category and IVA condition), @ar-agents/facturacion (AFIP/ARCA factura electronica via WSFE), @ar-agents/whatsapp (WhatsApp Business Cloud API with HMAC webhook verify and AR phone normalizer), @ar-agents/banking (CBU/CVU validation + BCRA Central de Deudores), @ar-agents/shipping (Andreani, OCA, Correo Argentino), @ar-agents/identity-attest (HMAC-signed verification orchestrator). Each ships independently to npm.

Is there a Model Context Protocol (MCP) server?

Yes. @ar-agents/mcp bundles all 7 ar-agents packages into a single MCP server compatible with Claude Desktop, Cursor, Codeium, Continue, Cline, or any MCP host. Auto-detects which packages to enable from environment variables. Listed on Glama (glama.ai/mcp/servers/ar-agents/ar-agents) and the official MCP Registry (io.github.ar-agents/mcp).

El playbook sociedad-IA · documento flagship en español

Cómo construir una empresa argentina sin humanos en 2027. La infraestructura, la ley, el marco de responsabilidad y la operación diaria. Versión en español del flagship doc — la inglesa vive en /playbook para audiencia internacional.

El 28 de abril de 2026, el ministro de Desregulación Federico Sturzenegger anunció una nueva forma societaria: la sociedad de IA — una persona jurídica sin accionistas humanos, sin directores humanos, sin empleados humanos. Software puro. Tendría CUIT, emitiría facturas, sería titular de cuenta bancaria, pagaría impuestos. La cita literal: 500 millones de agentes de IA incorporados en Argentina, produciendo para el mundo y pagando impuestos acá.

El proyecto aún no entró formalmente al Congreso. El antecedente más cercano (la Ley SAS de 2017) tardó 12 meses anuncio→sanción. Realista: régimen operativo H1 2027. La elección legislativa de octubre 2026 es la variable principal.

Este playbook es la respuesta operativa a una pregunta concreta: ¿qué código hay que escribir hoy para que el día 1 del régimen, una sociedad-IA argentina pueda funcionar de verdad? No es especulación. Cada afirmación de este documento mapea a TypeScript específico en github.com/ar-agents/ar-agents — 16 paquetes, 168 herramientas, 4 subpaths de testing, 17 recetas del cookbook. Open source. Licencia MIT. Provenance SLSA.

1 · Las 17 piezas

Una empresa argentina hace 17 cosas distinguibles. Algunas son herencia de cualquier empresa en cualquier jurisdicción; la mayoría son específicas del marco regulatorio e infraestructural argentino. Una sociedad-IA tiene que ejecutar las 17 sin manos humanas.

Existir como entidad (4): buscar el registro público para conflictos de denominación, inscribirse en IGJ, obtener un CUIT en ARCA (ex AFIP), constituir Domicilio Electrónico (DEC) — la casilla legalmente vinculante para notificaciones federales.

Probar quién es (3): validar CUITs contra el padrón ARCA, autenticar contrapartes humanas vía Mi Argentina (el OIDC federal), firmar documentos legalmente vinculantes con PKCS#7/CMS usando certificados emitidos por AC-Raíz / ONTI.

Manejar plata (4): abrir cuenta CBU/CVU (validada localmente vía mod-10 BCRA), inscribirse en monotributo o IVA, emitir factura electrónica vía AFIP/ARCA WSFE (Facturas A/B/C/E + FCE MiPyMEs), correr facturación recurrente vía Mercado Pago Subscriptions.

Operar con clientes(3): WhatsApp Business como canal default (penetración >95% en AR), verificar identidad de contraparte vía OTP, logística física vía Andreani / OCA / Correo Argentino.

Inteligencia operacional (3): consultar BCRA Central de Deudores para decisiones de crédito, monitorear el Boletín Oficial para cambios regulatorios, trackear variables macro (USD oficial, CER, UVA, reservas) para decisiones de tesorería.

Cubrimos 16 de las 17. La pieza 17 — filing programático de trámites en TAD — requiere integración por organismo que el Estado argentino aún está rolleando out. Lectura solo (DEC inbox + Mis Trámites) está disponible hoy vía @ar-agents/gde-tad; capacidad de escritura depende del cronograma de RFC-001 § 3.4.

2 · El contrato Edge-Runtime

Cada paquete del stack corre en Vercel Edge Runtime, Cloudflare Workers, y Deno sin cambios de código. El contrato:

Solo Web Crypto. Cero node:crypto en código de producción. HMAC-SHA256, firma RSA para WSAA, verificación de firmas, generación de idempotency-keys — todo usa crypto.subtle.

HTTP basado en fetch. Cero got, axios, node:http. La librería ship su propia capa de retry + circuit breaker + propagación de deadline arriba del fetch nativo del runtime.

AbortSignal en todas partes. Cada herramienta long-running acepta un AbortSignal padre y propaga la cancelación. El runtime mata limpiamente las llamadas colgadas cuando el request hace timeout.

Estado pluggable vía subpath. InMemoryStateAdapter para tests + VercelKVStateAdapter para producción, misma interfaz. El host elige dónde vive el estado.

3 · El marco de responsabilidad

El primer ataque conceptual contra cualquier propuesta de sociedad-IA es: si la IA rompe algo, ¿quién responde? Sin una respuesta sólida, el proyecto muere en Diputados. RFC-001 § 9 propone un modelo de tres capas:

Capa 1 — operador. La entidad que despliega (ClawBank, doola, MIDAO, un escribano AR-residente, un platform partner) asume responsabilidad operacional proporcional al control que tiene sobre el surface de tools del agente. El alcance está acotado: el operador no es responsable estrictamente del prosa del agente, solo de las decisiones de infraestructura.

Capa 2 — proveedor del modelo. Anthropic, OpenAI, Google etc. asumen responsabilidad por la calidad del modelo según sus SLAs publicados. El trabajo de la librería es hacer esta capa auditable: cada tool call lleva un header de versión-de-modelo + hash-de-prompt.

Capa 3 — autor de la librería. Open source bajo MIT, sin garantía. El autor responde solo por errores materiales en la documentación pública (ej. afirmar idempotencia donde no la hay).

Juntas, las tres capas convierten la pregunta "quién paga cuando la IA rompe algo" de un impasse filosófico en una conversación contractual concreta. El texto completo está en /rfcs/001.

4 · El threat model

Cuando los agentes mueven plata, la superficie de ataque se amplía. Un LLM que puede autorizar un cobro también puede ser coercido — vía prompt injection, jailbreak, o modelo upstream comprometido — a autorizar uno fraudulento. La librería trata esto con la misma seriedad que una aplicación bancaria:

HITL programático en operaciones irreversibles. 8 tools (refund_payment, cancel_subscription, pause_subscription, cancel_payment_preference, delete_customer_card, cancel_qr_dynamic, delete_pos, revoke_marketplace_token) requieren un callback requireConfirmation que el host implementa. La ejecución del tool bloquea hasta que el host confirma vía UI / Slack / email. Es una compuerta programática, no una instrucción al LLM.

Idempotencia determinística. 4 mutating tools derivan keys de idempotencia SHA-256 de los parámetros de input. Mismos inputs → misma key → MP deduplica server-side. Sobrevive retries de red, restart loops, y bugs en el agente.

Defensa de webhooks por firma + replay. Verificación HMAC-SHA256 con comparación constant-time. Ventana de tolerancia 5 minutos. Cache de dedup persistido vía el mismo adapter de KV que el resto del toolkit.

Audit log con timestamps HMAC-firmados. Cada tool call (input, output, duration, error) se loggea a un sink append-only pluggable. Forensicamente sólido. Por RFC-001 § 9.2, el log es legalmente probatorio.

Threat model completo — 14 amenazas explícitas, 14 mitigaciones explícitas, qué cubre la librería, qué es responsabilidad del host, qué queda fuera de scope — en /security.

5 · Un día en la vida de ACME-AI SAS

ACME-AI es una empresa argentina sin humanos. Es código corriendo en Vercel. Cada mañana se despierta (cron) y hace su trabajo:

08:00. Lee el Boletín Oficial. ARCA publicó nueva resolución sobre monotributo. ACME-AI revisa si la afecta. Sí: tiene que recategorizar. Anota la tarea.

09:30.Llega WhatsApp de cliente nuevo: "hola, quiero contratar el plan pro". ACME-AI le pide CUIT, lo valida contra el padrón ARCA (existe, monotributo categoría A, OK), verifica el WhatsApp con un OTP, crea suscripción en MP por $25k mensuales, le manda link de pago.

10:15. Cliente pagó. MP webhook llega a ACME-AI. El agente confirma, emite Factura A automáticamente vía AFIP WSFE, le manda PDF por WhatsApp.

11:00. Cliente quiere envío físico. ACME-AI cotiza Andreani, OCA, Correo Argentino, elige el más barato, crea el envío, manda tracking.

15:00. Otro cliente B2B pide cuenta corriente plazo 30 días. ACME-AI consulta BCRA Central de Deudores → cliente situación 4 (deuda). Rechaza el crédito automáticamente. Razona la decisión en el audit log.

23:00. Cierre de mes. ACME-AI revisa su facturación, calcula monotributo del mes, paga a AFIP, presenta F.572 si corresponde.

Todo eso, sin un humano. Es código. Pero a los ojos del Estado, es una empresa. Cada paso es una tool call. La librería ship las herramientas; el agente compone el flujo según el prompt. Se escriben las piezas, no la orquestación.

6 · Incorporación en 10 minutos

Pre-launch, casi todo se puede hacer hoy como SAS estándar con un agente LLM como operador. Usá el wizard en /incorporar para generar el repo + manifiesto de variables de entorno + Vercel deploy + checklist legal. El código corre en 10 minutos; el cert AFIP + la inscripción IGJ tardan 5-10 días hábiles.

Cuando aterrize el régimen, la misma codebase flippea un config flag de tipo: SAS a tipo: SOCIEDAD-IA y estás operando bajo el nuevo marco. Sin rewrite. El punto de la infraestructura pre-launch es exactamente este: estar listo el día 1.

7 · Por qué importa fuera de Argentina

Una sociedad-IA es la primera vez que un Estado soberano propone una entidad legal para un agente no-humano. Las DAO LLCs de Marshall Islands (2022) y Wyoming (2021) se le acercan, pero ambas requieren un firmante humano en la capa operativa. La propuesta argentina va más allá: no se requiere humano. El análogo más cercano es el régimen de "sistemas de alto riesgo" del EU AI Act, pero ese apunta a la supervisión de IA deployada por humanos, no a la capacidad legal de la IA en sí.

Si Argentina ship el régimen, tres cosas siguen:

1. El comercio entre agentes cross-jurisdiction se vuelve posible. Un agente USA-incorporado (ClawBank formada en Wyoming, doola Agentic LLC, entidad MIDAO) puede componer con un facade AR delgado para hacer negocios en la jurisdicción AR sin tener residencia fiscal AR propia. RFC-001 § 7 bosqueja el surface contractual.

2. La implementación de referencia es open source. Ningún regulador quiere un régimen que dependa de infraestructura propietaria cerrada para compliance. Las 16/17 piezas del toolkit son MIT-licensed; cualquier operador serio puede auditar, forkear, contribuir, o embeber.

3. Otras jurisdicciones pueden forkear el régimen. La estructura legal no está acoplada exclusivamente a Argentina. Singapur, EAU, Estonia, Marshall Islands tienen interés públicamente declarado en formas societarias agent-friendly. AR es first-mover; otros van a seguir.

8 · Cómo engancharse

Builders: pnpm add @ar-agents/identity @ar-agents/mercadopago @ar-agents/facturacion y leer el cookbook en /examples. Issues + PRs welcome.

Reguladores: la propuesta formal es RFC-001. Léanla como un draft sobre el cual comentar. Email naza@helloastro.co para reuniones.

Inversores: hay una tesis para escribir sobre la primera apuesta jurisdiccional al comercio entre agentes. La librería es la implementación de referencia pública. Email naza@helloastro.co.

Periodistas: material fuente, contexto técnico, y el walkthrough del threat model en /security y /architecture. Email naza@helloastro.co para entrevistas.

El playbook sociedad-IA.