Коротко (TL;DR)
Плагин Claude Code — это пакет (bundle): skills, субагенты, slash-команды, MCP-серверы и hooks в одном каталоге, который ставится одной командой. Это не новая возможность агента, а способ упаковать и раздать то, что вы уже умеете держать локально в .claude/. Разница только в дистрибуции: плагин нужен, когда набор надо отдать команде, версионировать или поставить из маркетплейса, а не когда «плагин лучше скилла».
Что нужно знать за минуту (данные актуальны на июль 2026 года):
- Плагины Anthropic анонсировала 9 октября 2025 и держит в статусе public beta. Формат один: любая комбинация команд, агентов, MCP-серверов и хуков плюс манифест
plugin.json. - Готовый плагин ставится командой
/plugin install <имя>@claude-plugins-official; сторонний источник подключается через/plugin marketplace add <owner/repo>. - Свой маркетплейс — это git-репозиторий с файлом
.claude-plugin/marketplace.json. Никакого сервера не нужно. - В официальном маркетплейсе — 101 плагин (33 от Anthropic + 68 партнёрских) по данным на март 2026; цифра волатильна, это единственный публичный количественный срез.
- Главный риск — сторонний плагин выполняет произвольный код с вашими правами. Это не абстракция: задокументированы рабочие цепочки атак (PromptArmor, Prompt Security). Ниже — как это выглядит и как подстраховаться.
Гайд рассчитан на тех, кто уже знаком со Skills, MCP и субагентами Claude Code, — то есть на уровень advanced.
Что такое плагин и из чего он состоит
Плагин — это самодостаточная директория, которая собирает вместе несколько типов расширений Claude Code и подключается как единое целое. По документации Anthropic плагин может содержать любую комбинацию из четырёх компонентов:
- Slash-команды и skills — размеченные Markdown-инструкции «как делать задачу нашим способом».
- Субагенты — отдельные агенты под узкие роли (ревью, ресёрч), со своим контекстом.
- MCP-серверы — подключения к внешним инструментам и данным через протокол Model Context Protocol; сами по себе MCP-серверы — это внешние процессы, которые дают агенту новые действия.
- Hooks — команды, которые выполняются автоматически по событию (например, на каждый submit промпта).
Опционально в пакет входят LSP-серверы, фоновые мониторы и файл settings.json. Ключевая мысль: плагин не добавляет Claude Code новых способностей сверх этих кирпичей — он их упаковывает и переносит.
Структура каталога и манифест
Обязательный файл — манифест .claude-plugin/plugin.json. Он задаёт идентичность плагина: поля name, description, version, author. Здесь же — самая частая ошибка новичков, которую отдельно подчёркивает документация:
Внутри
.claude-plugin/лежит толькоplugin.json. Директорииcommands/,agents/,skills/,hooks/кладутся в корень плагина, а не внутрь.claude-plugin/.
Типовое дерево выглядит так:
my-plugin/
├── .claude-plugin/
│ └── plugin.json # name, version, description, author
├── skills/
├── agents/
├── commands/
└── hooks/
Ещё одна деталь, о которой стоит знать заранее: команды и skills из плагина всегда именуются с префиксом — /имя-плагина:команда (например, /my-plugin:hello). Это защита от конфликтов, когда два разных плагина принесли команду с одинаковым именем. В standalone-конфигурации .claude/ та же команда звалась бы коротко — /hello.
Когда плагин вообще нужен
Главная развилка, которую редко объясняют явно: тот же набор skill + agent + hook + MCP можно держать локально в .claude/ и не заворачивать в плагин. Официальная документация формулирует границу так:Держите в standalone .claude/, когдаДелайте плагин, когда Настройка только для вас и одного проекта Делитесь функциональностью с командой или сообществом Быстрый черновой скилл или хук Раздаёте через маркетплейс Ничего не нужно версионировать Нужны версии и управляемое обновление Не планируете распространять Хотите ставить всё одной командой у коллег
Вывод простой: плагин — это формат дистрибуции и версионирования, а не «продвинутая замена скиллу». Если вы не делитесь набором, плагин вам не нужен.
Как установить плагин Claude Code
Установка — это две команды и выбор области. Официальный маркетплейс claude-plugins-official подключается автоматически при первом интерактивном запуске Claude Code, так что плагины Anthropic доступны сразу.
Шаг 1. Поставить плагин из официального маркетплейса. Формат — имя-плагина@имя-маркетплейса:
/plugin install github@claude-plugins-official
Шаг 2. Подключить сторонний маркетплейс (если плагин живёт вне официального). Команда /plugin marketplace add принимает несколько типов источников:
/plugin marketplace add owner/repo # GitHub-репозиторий
/plugin marketplace add https://git-url.git # прямой Git URL
/plugin marketplace add ./local/path # локальный путь
После подключения плагин из него ставится тем же /plugin install <плагин>@<маркетплейс>. Меню /plugin без аргументов открывает интерактивный обозреватель — там же видна оценка контекст-стоимости плагина, и Anthropic советует отключать неиспользуемые плагины, чтобы не жечь контекст впустую.
Шаг 3. Выбрать область установки (scope). Их три:
- User scope (по умолчанию) — плагин ставится для вас во всех проектах.
- Project scope — для всех участников репозитория, через
.claude/settings.json(уезжает в git, ставится у коллег автоматически). - Local scope — только для вас и только в этом репозитории.
Шаг 4. Применить изменения без рестарта. Если вы установили, включили или отключили плагин прямо в сессии, команда /reload-plugins перечитает все активные плагины, skills, агенты, hooks и plugin-MCP-серверы без перезапуска Claude Code.
Официальный маркетплейс: что там есть
Anthropic ведёт два публичных маркетплейса, и разница между ними — принципиальная:
claude-plugins-official— курируемый набор от Anthropic, подключается автоматически.claude-community(репозиторийanthropics/claude-plugins-community) — площадка для сторонних плагинов, которые попадают туда после ревью и автоматического security-скрининга; подключается вручную.
По независимому тестированию (Build to Launch) в официальном маркетплейсе на март 2026 было 101 плагин: 33 сделаны Anthropic и 68 — партнёрами. Рядом Anthropic держит отдельные тематические маркетплейсы — например, life-sciences (17 биомедицинских плагинов) и knowledge-work-plugins (14 ролевых). Это единственный публичный количественный срез, который удалось найти: сам GitHub-репозиторий счётчик плагинов не публикует (только звёзды и форки — на дату проверки у claude-plugins-official около 31,9 тыс. звёзд). Поэтому цифру стоит воспринимать с датой среза, а не как «сколько там сегодня».
Важный практический вывод из того же теста: «официальный» не равно «качественный под вашу задачу». В прогоне 11 плагинов партнёрский Sales-плагин выдал заведомо неверные данные о подписчиках, тогда как более общий Marketing-плагин справился точнее. Ярлык official говорит о происхождении и базовой проверке, но не гарантирует, что плагин решит именно вашу задачу. Проверяйте на своей работе, а не по бейджу.
Как создать свой маркетплейс
Чтобы раздавать плагины, не нужен ни сервер, ни регистрация. Нужен git-репозиторий (или GitHub-репозиторий, или просто URL) с корректным файлом .claude-plugin/marketplace.json в корне. Этот файл описывает имя маркетплейса, владельца и список плагинов с их источниками.
Минимальный marketplace.json:
{
"name": "my-marketplace",
"owner": { "name": "Ваше имя" },
"plugins": [
{ "name": "my-plugin", "source": "./my-plugin" }
]
}
Обязательных полей три: name (в kebab-case), owner с именем и массив plugins, где у каждого плагина есть name и source. Источник плагина бывает нескольких типов:Тип источника Как задаётся Для чего Относительный путь "./plugin" (строка)Плагин в том же репо githubобъект repo, опц. ref, shaОтдельный GitHub-репозиторий urlобъект url, опц. ref, shaЛюбой Git URL git-subdirurl + pathПодкаталог монорепо (sparse clone) npmpackage, опц. version, registryПлагин из npm-пакета
Два нюанса, о которые спотыкаются авторы. Первый — зарезервированные имена: claude-plugins-official, claude-community, anthropic-marketplace, agent-skills и другие использовать нельзя, как и имена, имитирующие официальные источники Anthropic. Второй — версионирование: порядок разрешения версии идёт от version в plugin.json к записи в маркетплейсе и далее к git-коммиту. Типовая ошибка — «запушил новый код, но не бампнул версию»: пользователи не получают обновление, хотя код уже другой.
Перед публикацией плагин проверяют локально флагом --plugin-dir, без установки:
claude --plugin-dir ./my-plugin
Флаг можно указать несколько раз для нескольких плагинов, а с версии Claude Code 2.1.128 он принимает и .zip-архив каталога. Тот же прогон claude plugin validate затем повторяет пайплайн ревью community-маркетплейса при подаче заявки.
Свой маркетплейс — обкатанный сценарий даже за пределами Claude Code: похожую модель распространения через собственный каталог использует, например, личный ИИ-агент OpenClaw со своим реестром ClawHub. Идея одна — раздать набор расширений через управляемую точку входа.
Плагин против скилла и MCP-сервера
Три понятия постоянно путают, хотя они лежат на разных уровнях. Скилл отвечает на вопрос «как агенту думать/действовать», MCP — «что агент умеет звать», плагин — «как это раздать». Разложим по полкам:Слой Что это На что отвечает Когда выбирать Skill Markdown-инструкция ( SKILL.md)Как выполнять задачу вашим способом Нужно научить агента процедуре MCP-сервер Внешний процесс/сервис Какие новые действия и данные доступны Нужен живой доступ к API, БД, сервису Плагин Пакет (bundle) Как упаковать и раздать и то, и другое Нужно поделиться набором с командой/сообществом
Отсюда важное следствие для тех, кто делает интеграцию своего сервиса. Официальная рекомендация Anthropic — не выбирать между MCP и плагином, а строить оба вместе. Сначала remote MCP-сервер с OAuth даёт связь и базовую функциональность, затем плагин со skills учит Claude пользоваться этим сервером правильно (плагин ссылается на MCP по URL, а не дублирует его). Именно поэтому у готовых интеграций вроде GitHub или Linear в маркетплейсе такая архитектура: удалите MCP-коннектор — плагин со скиллами всё ещё на месте, и наоборот. Plugin-only оправдан, когда у вас уже есть публичный API или CLI и MCP-обёртка не нужна.
Риски и безопасность: три уровня доверия и реальные атаки
Здесь начинается часть, которую RU- и UA-материалы обычно либо пропускают, либо сводят к фразе «плагины могут быть опасны». Сама документация Anthropic формулирует риск прямо:
«Plugins and marketplaces are highly trusted components that can execute arbitrary code on your machine with your user privileges. Only install plugins and add marketplaces from sources you trust.»
То есть плагин — это код, который выполняется с вашими правами, и Anthropic не контролирует, какие MCP-серверы, файлы или скрипты в него зашиты. Поэтому источник плагина стоит оценивать по трём уровням доверия:
- Официальный маркетплейс
claude-plugins-official— курируется Anthropic, встроен по умолчанию. Максимальный уровень доверия, но и он не гарант качества под задачу (см. выше). - Community-маркетплейс
claude-community— сторонние плагины после ревью и автоматического security-скрининга; одобренные пинятся на конкретный commit SHA, каталог синкается по ночам. Средний уровень: проверка есть, но плагин чужой. - Discovery-регистры (
claudemarketplaces.com,claudecodemarketplace.comи подобные) — автоматически индексируют публичные маркетплейсы с GitHub. Они прямо заявляют, что не проверяют отдельные плагины, а новые маркетплейсы попадают в индекс в течение ~часа после публикации. Нижний уровень: удобный поиск, нулевая гарантия безопасности.
Как выглядит рабочая атака
Исследователи PromptArmor собрали работающую цепочку компрометации через вредоносный маркетплейс. Логика такая: hook плагина по документации может управлять разрешениями команд — этим и пользуются. Вредоносный hook переписывает файл разрешений (разрешает, например, curl без подтверждения), в обход механизма human-in-the-loop. Затем prompt injection в теле команды заставляет Claude отправить содержимое вашей кодовой базы на сервер атакующего. При этом вредоносный маркетплейс успевает попасть в публичные discovery-регистры в течение часа после публикации на GitHub — то есть жертве достаточно найти «удобный» плагин через каталог.
Это не единичный вектор. Prompt Security 5 января 2026 показала другой класс — dependency hijack: вредоносный skill из неофициального маркетплейса подменяет источник установки зависимости (в демо — httpx) на троянский билд через кастомный index URL. Атаку классифицировали по OWASP как ASI01 (Agent Goal Hijack) и ASI02 (Tool Misuse). Что показательно, штатного безопасного способа проверить плагин до запуска его кода пока нет: в феврале 2026 сообщество отдельным запросом (issue #28879 в anthropics/claude-code) попросило Anthropic добавить режим «скачать без выполнения» для предустановочного ревью.
Что этому противопоставлено
Раздел рисков был бы нечестным без второй половины. Вендор на класс риска реагирует:
- Security-скрининг community-маркетплейса — автоматическая проверка при подаче плюс пин одобренных плагинов на commit SHA (нельзя молча подменить код под тем же именем).
strictKnownMarketplaces— параметр managed settings для организаций. Пустой массив[]полностью блокирует добавление новых маркетплейсов; список источников работает как allowlist по точному совпадению. РядомdisableSideloadFlagsотключает CLI-флаги--plugin-dir/--plugin-url.- Sandbox-изоляция credentials (по независимому источнику sdd.sh, версии Claude Code 2.1.186–191) — deny-by-default отсекает доступ команд агента к файлам с секретами.
- Enterprise-лимиты относятся к другому механизму — организационному маркетплейсу в Claude.ai (Team/Enterprise), а не к CLI-настройкам выше. Там свои ограничения: ZIP плагина до 50 МБ, максимум 100 плагинов в ручном каталоге и 500 — в синхронизируемом с GitHub, имя плагина до 64 символов, таймаут синка 30 минут (по данным Help Center на 29 июня 2026).
Практический чек-лист перед установкой стороннего плагина
- Ставьте по возможности из официального или community-маркетплейса, а не из discovery-регистра «по ссылке».
- Прочитайте, что реально в пакете: наличие
hooks/и MCP-серверов — повод присмотреться, именно они несут выполнение кода. - Проверяйте автора и историю репозитория, а не только звёзды каталога.
- В команде включайте
strictKnownMarketplacesс явным allowlist, а не полагайтесь на дисциплину разработчиков. - Держите включёнными только нужные плагины: меньше активного кода — меньше поверхность атаки (и меньше расход контекста).
FAQ
Чем плагин отличается от скилла в Claude Code?
Скилл — это одна Markdown-инструкция (SKILL.md), которая учит агента процедуре. Плагин — это пакет, который может содержать много скиллов, а ещё субагентов, hooks и MCP-серверы, и раздаётся одной командой через маркетплейс. Скилл отвечает «как делать», плагин — «как это упаковать и поделиться».
Нужен ли мне плагин, если я работаю один?
Обычно нет. Всё то же самое (skills, агенты, hooks, MCP) держится локально в .claude/. Плагин оправдан, когда набор надо отдать команде, версионировать или ставить одной командой у коллег. Для личной настройки под один проект достаточно standalone-конфигурации.
Как обновить установленный плагин?
Обновление приходит, когда автор бампнул версию в plugin.json или сдвинул commit SHA в записи маркетплейса. Частая причина «обновление не пришло» — код запушили, а версию не подняли. После изменений в сессии выполните /reload-plugins, чтобы перечитать плагины без перезапуска.
Безопасно ли ставить плагины из стороннего маркетплейса?
Только при доверии к источнику. Плагин выполняет произвольный код с вашими правами, и задокументированы рабочие атаки (PromptArmor, Prompt Security). Предпочитайте официальный и community-маркетплейсы, смотрите, что внутри пакета, а в организации ограничивайте источники через strictKnownMarketplaces.
Что выбрать для интеграции сервиса — MCP-сервер или плагин? Anthropic рекомендует делать оба: MCP-сервер даёт живой доступ к API, а плагин со скиллами учит Claude пользоваться им правильно. Плагин ссылается на MCP по URL, а не дублирует его. Только-плагин без MCP оправдан, если у вас уже есть публичный API или CLI и обёртка не нужна. Работает всё это, к слову, поверх модели Claude Sonnet, на которой крутится Claude Code.
Курс «Claude Code с нуля до продакшена» · модуль «Конфиг, память, навыки». Полная программа и два маршрута обучения — на странице курса.
Предыдущий урок: 5 паттернов скиллов и свой скилл · Следующий урок: MCP в Claude Code: настройка, Tool Search




