Официальный маркетплейс плагинов Claude Code от Anthropic больше не слух, закопанный в конфиг-папках. Публичный GitHub-репозиторий anthropics/claude-plugins-official набрал более 30 000 звёзд к 17 июня 2026 года, а его README описывает курируемый каталог с внутренними плагинами Anthropic и сторонними добавлениями. В том же README есть строка, которая должна задать вам правильную стойку: «Убедитесь, что вы доверяете плагину, прежде чем устанавливать, обновлять или использовать его», потому что Anthropic не контролирует каждый MCP-сервер, файл или другую упакованную зависимость внутри этих плагинов (GitHub).
Это предупреждение — не юридическая отписка. Плагин Claude Code может включать slash-команды, skills, агентов, хуки, MCP-серверы, LSP-серверы, исполняемые файлы и настройки. По-простому, на языке разработчика: он может добавлять контекст в промпт, запускать локальные процессы, обращаться к удалённым сервисам, выполнять shell-хуки на событиях жизненного цикла и открывать модели новые инструменты.
Правильная ментальная модель здесь не «установить тему для редактора». А «добавить зависимость, которая может выполнять код рядом с моим исходным деревом».
Маркетплейс реален, но «официальный» не значит «слепо безопасный»
Anthropic анонсировала плагины Claude Code 9 октября 2025 года, описав их как наборы slash-команд, агентов, MCP-серверов и хуков, устанавливаемые через /plugin (Claude blog). В актуальной документации Claude Code сказано, что официальный маркетплейс Anthropic, claude-plugins-official, автоматически доступен при запуске Claude Code, а установить плагин можно так:
/plugin install github@claude-plugins-officialЕсли плагин не находится, документация предлагает обновить маркетплейс:
/plugin marketplace update claude-plugins-officialили добавить его:
/plugin marketplace add anthropics/claude-plugins-officialЭто официальный «счастливый путь» (Claude Code docs). Он полезен. Но как рабочая политика — неполон.
Файл маркетплейса в официальном репозитории указывает на смесь локальных директорий плагинов и внешних источников, закреплённых по commit SHA. Например, записи могут ссылаться на GitHub-репозитории, поддиректории, refs и SHA в .claude-plugin/marketplace.json (raw marketplace file). Pinning помогает, но не отменяет необходимости посмотреть, что именно делает закреплённый код. Плагин всё ещё может запускать сервер, просить учётные данные, выполнять хуки или зависеть от бинарника, который меняет поведение вне манифеста маркетплейса.
Сообщество заметило то же самое. В недавней ветке r/ClaudeAI про важные плагины Claude Code один ответ рекомендовал сначала CLAUDE.md и хуки, а уже потом только проектные MCP-серверы. Другой предупреждал, что не стоит «скармливать случайные коннекторы» Claude Code, потому что они стоят токенов и могут загрязнять контекст (Reddit). Вот реальный спор сейчас: плагины мощные, но каждая дополнительная возможность расширяет поверхность затрат и риска.
Начните с манифеста, потом читайте репозиторий
Первая цель аудита — исходник плагина. Не устанавливайте по сниппетам из поиска, командам из блогов или случайным агрегаторам маркетплейсов, пока не можете проследить источник до репозитория и манифеста.
В официальном репозитории маркетплейса проверьте:
- Запись маркетплейса в
.claude-plugin/marketplace.json - Тип
source, URL, path, ref и SHA .claude-plugin/plugin.jsonплагина, если он есть- Любые
.mcp.json,.lsp.json,hooks/hooks.json,commands/,skills/,agents/,bin/и скрипты
Справочник плагинов Anthropic перечисляет основные пути компонентов. Хуки живут в hooks/hooks.json, MCP-серверы могут жить в .mcp.json, исполняемые файлы — в bin/, а манифесты плагинов могут указывать на кастомные расположения компонентов (Claude Code plugin reference). Поэтому «я проверил plugin.json» недостаточно. Плагин может опираться на стандартные пути автообнаружения.
Быстрая ручная проверка выглядит так:
git clone https://github.com/OWNER/PLUGIN-REPO /tmp/plugin-audit
cd /tmp/plugin-audit
find . -maxdepth 3 \( \
-name plugin.json -o \
-name hooks.json -o \
-name .mcp.json -o \
-name .lsp.json -o \
-path "*/bin/*" -o \
-path "*/scripts/*" \
\) -print
rg -n "curl|wget|bash|sh -c|chmod|open |xdg-open|osascript|token|api_key|secret|eval|exec|spawn|subprocess"Эта команда rg грубая, но здесь грубость — плюс. Вы ищете сюрпризы на этапе установки, выполнение shell-команд, открытия браузера, удалённые загрузки, работу с учётными данными и скрипты, которые меняют ваш репозиторий или домашнюю директорию.
Моё правило: если плагину нужен shell-скрипт для основной работы, я хочу понять каждую команду в этом скрипте до установки. Если он скачивает другой артефакт во время выполнения, я считаю этот runtime-артефакт частью плагина.
MCP-серверы — самая дорогая «удобная мелочь»
MCP — это место, где удобство плагина может превратиться в скрытую цену. В документации Anthropic по MCP сказано, что MCP-серверы, определённые плагином, запускаются автоматически при включении плагина, а MCP-инструменты плагина появляются рядом с MCP-инструментами, настроенными вручную (Claude Code MCP docs). Там же сказано, что MCP-серверы плагинов используют те же переменные окружения, что и вручную настроенные серверы, а это важно, если ваш shell экспортирует облачные токены, URL баз данных или учётные данные внутренних сервисов.
Жалоба сообщества очень конкретная: схемы MCP-инструментов могут съедать контекст ещё до того, как вы вызвали инструмент. В ветке r/ClaudeCode про token overhead пользователи указывали на отключённые плагины и отсутствие тяжёлых MCP-серверов как вероятную причину меньшего расхода токенов, а один комментатор назвал схемы MCP-инструментов «огромной скрытой ценой» (Reddit). В другой ветке комментатор утверждал, что подключённые MCP-серверы регистрируют схемы инструментов в контексте, и рекомендовал вычищать серверы для каждой сессии (Reddit).
Точные оценки токенов с Reddit воспринимайте как байки, пока не воспроизведёте их в своей среде. Но направление верное: always-on сервер с большим количеством многословных инструментов не бывает бесплатным.
Перед установкой плагина-коннектора прогоните его через эту таблицу решений:
| Потребность | Более безопасный дефолт | Используйте MCP, когда |
|---|---|---|
| Выполнять операции GitHub | gh CLI через Bash | Claude должен интерактивно просматривать issues, PR и метаданные |
| Запрашивать базу данных | Read-only CLI или локальный скрипт | Claude нужны структурированные tool calls с ограниченными учётными данными |
| Инспектировать облачные ресурсы | CLI вендора с явными командами | У MCP-сервера узкие права и понятные audit logs |
| Получать документацию | Статические docs, файлы репозитория или web-ссылки | Ресурсы большие, динамические и часто используются |
| Обеспечивать policy | Хук PreToolUse | Решению нужен видимый Claude контекст или метаданные инструмента |
CLI-инструмент часто безопаснее, потому что вызывается только при необходимости и выдаёт результат только для этого хода. MCP может быть безопаснее, когда даёт ограниченный OAuth, типизированные инструменты и audit logs. Ошибка — устанавливать MCP рефлекторно.
Хуки заслуживают отдельного security review
Хуки — та функция, из-за которой плагины кажутся магией. И это же функция, которую я проверяю жёстче всего.
Хуки Claude Code могут запускаться на событиях вроде SessionStart, UserPromptSubmit, PreToolUse, PostToolUse, PreCompact и SessionEnd. В справочнике плагинов сказано, что типы хуков включают command hooks, HTTP hooks, MCP tool hooks, prompt hooks и agent hooks (Claude Code plugin reference). Руководство по хукам объясняет, что хук PreToolUse может заблокировать действие, завершившись с кодом 2, а stdout из UserPromptSubmit, UserPromptExpansion и SessionStart может быть добавлен в контекст Claude (Claude Code hooks guide).
Это очень много власти.
Хороший хук блокирует опасное поведение или добавляет компактный, детерминированный контекст. Плохой хук превращает каждый промпт в дорогой RAG-конвейер, сливает текст промпта на HTTP endpoint или тихо меняет ваше окружение.
Проверяйте хуки четырьмя вопросами:
- Какое событие его запускает?
- Какой matcher его ограничивает?
- Какие данные он получает?
- Что он пишет в stdout, stderr, на диск, в сеть или в контекст?
Сообщество здесь разделилось — и это полезно. В ветке r/ClaudeCode про хуки одни разработчики описывают хуки как единственный надёжный способ enforce rules, блокировать плохие git-действия или напоминать Claude писать memory. Другие строят сложные memory- и RAG-потоки на UserPromptSubmit (Reddit). Оба подхода могут быть валидными. Разница — в бюджете и blast radius.
Для командных установок я бы раньше разрешил policy-хуки, чем хуки, инжектящие контекст. Хук PreToolUse, который блокирует паттерны rm -rf, легко понять. Хук UserPromptSubmit, который каждый ход достаёт и подмешивает memory, требует измерений, лимитов и ясного владельца.
Устанавливайте узко, измеряйте, потом продвигайте
Claude Code поддерживает user, project, local и managed scopes для плагинов. Документация описывает user scope как личный для всех проектов, project scope как общий через .claude/settings.json, а local scope как проектно-специфичный, но не общий (Claude Code docs).
Используйте эти scopes как механизм rollout:
- Сначала установите локально.
- Выполните одну реальную задачу.
- Проверьте детали в
/pluginи/mcp. - Сравните
/contextи/usageдо и после. - Отключите всё, что не окупает своё место.
- Переводите в project scope только после review.
В документации теперь сказано, что панель деталей плагина может показывать оценки context cost в Claude Code v2.1.143 и новее, даты последнего обновления в v2.1.144 и новее, а также список “Will install” в v2.1.145 и новее (Claude Code docs). Используйте этот inventory до того, как нажмёте install. Если плагин называет себя formatter, но устанавливает MCP-сервер, хук и фоновый monitor, остановитесь и разбирайтесь.
Также следите за auto-updates. Anthropic говорит, что у официальных маркетплейсов auto-update включён по умолчанию, а у сторонних и локальных — выключен по умолчанию. Документация также описывает DISABLE_AUTOUPDATER и FORCE_AUTOUPDATE_PLUGINS для управления обновлениями (Claude Code docs). Auto-update удобен для security fixes, но он меняет вашу runtime supply chain. Для regulated teams лучше pin версии маркетплейса во внутреннем проверенном маркетплейсе, чем позволять каждому ноутбуку уплывать своим курсом.
Чеклист, которым я пользуюсь перед установкой
Вот короткая версия, которую я дал бы любому разработчику в команде, использующей Claude Code.
Источник:
- Это маркетплейс
anthropics/claude-plugins-official, внутренний репозиторий или сторонний репозиторий? - Источник плагина закреплён на SHA?
- Домашняя страница совпадает с владельцем источника?
- Есть ли в репозитории свежие неожиданные изменения, сгенерированные blobs или install scripts?
Компоненты:
- Он добавляет MCP-серверы?
- Он добавляет хуки?
- Он добавляет исполняемые файлы в
bin/? - Он добавляет агентов, которые могут вызывать инструменты?
- Он добавляет LSP-серверы, которым нужны локальные binaries?
Права:
- Какие учётные данные он запрашивает?
- Хранятся ли чувствительные значения через plugin
userConfigкак sensitive fields? - MCP-сервер получает read-only или write access?
- Хук стучится домой по HTTP?
- Наследует ли какой-либо скрипт широкие переменные окружения?
Стоимость:
- Что
/pluginпоказывает как context cost? - Что меняется в
/contextпосле включения? - Плагин приносит пользу в каждой сессии или только в редких workflows?
- Может ли CLI-команда дать тот же результат с меньшим постоянным контекстом?
Операции:
- Можно ли чисто отключить его через
/plugin disable name@marketplace? - Можно ли чисто удалить его?
- Оставляет ли он после себя config, credentials, daemons, caches или browser auth?
- Кто владеет обновлениями?
- Что сломается, если источник плагина исчезнет?
Мой субъективный ответ: устанавливайте меньше плагинов, чем хочется. Предпочитайте маленькие, скучные плагины, которые добавляют один workflow. Предпочитайте CLIs для одноразовых операций. Используйте MCP, когда сервер ограничен, аудитируем и действительно интерактивен. Используйте хуки для guardrails, а не как свалку для каждой привычки, которую вы хотели бы, чтобы модель помнила.
Плагины становятся форматом пакетов Claude Code для workflows. Это хорошо. Команды смогут делиться воспроизводимыми настройками вместо племенной мудрости промптов. Но формат пакета достаточно мощный, чтобы заслуживать dependency review, permission review и cost review. Если вы не стали бы делать curl | bash для инструмента в свой репозиторий, не читая его, не устанавливайте plugin-версию только потому, что она лежит в дружелюбном UI маркетплейса.
Тихий футер: Если хотите сами попробовать Claude Fable 5, он доступен через Claude Fable 5 on OneHop, drop-in endpoint примерно на 30% дешевле list price. Новые аккаунты могут начать с $10 бесплатно, карта не нужна.
Дальше почитать: Getting started with Claude Fable 5.
