Коннекторы Claude: что ИИ реально видит в ваших сервисах и как это ограничить

21 мин. чтения

Коротко (TL;DR)

Коннекторы Claude — это готовые подключения к внешним сервисам (Gmail, Google Drive, Slack, Microsoft 365, GitHub и сотни других), через которые модель может искать ваши данные и выполнять действия прямо в диалоге. Главное правило про права доступа Claude: коннектор не даёт ИИ «доступ ко всему», а наследует права конкретного пользователя. Если файл или канал недоступен вам, коннектору он тоже недоступен.

Но есть нюанс, который меняет всю картину. Реальный объём выданных OAuth-прав иногда шире, чем говорит экран согласия. Классический пример — Google Drive: в окне подтверждения написано про «выбранные файлы», а токен получает доступ на чтение всего диска, и сузить это в интерфейсе Claude нельзя.

  • Что получите: понимание, что именно видит и может каждый коннектор, как подключить сервис за пару минут и как корректно отозвать доступ.
  • Что нужно: аккаунт в самом сервисе (Google, Slack и т.д.) и любой план Claude — базовые коннекторы директории работают даже на бесплатном.
  • Модель прав в одной строке: «что запрашивает OAuth» не равно «что коннектор реально делает» — Gmail-коннектор, например, умеет писать черновики, но физически не отправляет письма.

Что такое коннекторы Claude и при чём тут MCP

Коннектор — это управляемая обёртка вокруг MCP-сервера. MCP (Model Context Protocol) — открытый стандарт, который Anthropic выпустила в декабре 2024 года, чтобы ИИ-приложения единообразно подключались к инструментам и данным. Коннекторы работают поверх него на всех поверхностях: в веб-версии Claude, Claude Desktop, Claude Code и через API. По сути коннектор из директории — это готовый удалённый MCP-сервер, прошедший модерацию Anthropic, с понятной кнопкой «Подключить» вместо ручной настройки.

MCP — тот же стандарт, на котором строятся и другие инструменты и веб-поиск для ИИ-агентов: протокол описывает, как модель «дотягивается» до внешнего мира. Глубокий разбор самого протокола с точки зрения разработчика — тема отдельной статьи курса (модуль E7, «MCP в Claude Code»); здесь мы смотрим на коннекторы глазами обычного пользователя и разбираем именно права доступа.

Полезно сразу развести три вещи, которые часто путают, потому что у них разная модель доверия:

  • Коннектор из директории — облачный (remote) MCP-сервер SaaS-сервиса, одобренный Anthropic. Работает одинаково везде. Самый безопасный вариант.
  • Кастомный коннектор — ваш собственный remote MCP-сервер, который вы подключаете по URL. Anthropic его не проверяла.
  • Локальный MCP-сервер (desktop extension) — запускается на вашей машине с полными локальными правами (файловая система, сеть) и доступен только в Claude Desktop и Claude Code, не в вебе и не на мобильном. Для целей безопасности это стороннее ПО, установленное на компьютер.

Ставка на интеграции — часть продуктовой линии Anthropic: в разборе Claude Science видно, как коннекторы убирают ручную возню с переносом данных между сервисами, а не добавляют «ещё одну функцию».

Каталог: какие сервисы можно подключить

Директория выросла очень быстро. Официальный блог Anthropic называл 200+ сторонних коннекторов на 23 апреля 2026 и уже 300+ на 8 июня 2026. Независимые трекеры считают шире: проект awesome-claude-connectors на GitHub насчитывал 554 коннектора на 2 июля 2026, а security-трекер ClaudeSec — 380+ ещё на 29 апреля 2026. Расхождение объясняется методикой подсчёта: сторонние каталоги обновляются чаще и включают community-серверы, которых нет в официальном анонсе. Точное актуальное число всегда стоит смотреть в официальной директории на claude.com/connectors — это цифра, которая устаревает первой.

Ключевые категории и примеры:

КатегорияПримеры сервисовТип
Продуктивность и почтаGmail, Google Calendar, Google Drive, Microsoft 365, NotionVerified
Командная работаSlack, Atlassian (Jira/Confluence), Asana, Linear, Figma, CanvaVerified
РазработкаGitHub, Supabase, SentryVerified
ПотребительскиеUber, Spotify, DocuSignVerified
Свой серверКастомный remote MCP по URLCommunity / собственный

В директории коннекторы делятся на проверенные Anthropic (verified) и созданные сообществом (community). Для community-серверов действует то же правило, что и для любого стороннего ПО: доверие к нему — на вашей стороне.

Например, коннектор Slack превращает Claude в постоянного ИИ-коллегу в рабочем чате: он ищет и суммирует сообщения в каналах, к которым у вас уже есть доступ.

Права доступа: что коннектор реально видит и может

Это ядро статьи. Разберём механику по слоям: как работает наследование, какие именно OAuth-скоупы запрашиваются, где формулировка расходится с реальностью и что коннектор делать не станет.

Наследование прав и ограничение действий

Базовый принцип: Claude действует от вашего имени и с вашими правами. Это называется делегированным доступом. В случае Microsoft 365, например, коннектор работает через приложения «M365 MCP Server for Claude» с делегированными правами Graph API — то есть от лица вашей учётной записи, а не под общей повышенной сервисной ролью.

Ограничить действия можно через Tool permissions. Владельцы Team и Enterprise делят инструменты коннектора на категории (только чтение / запись-удаление) и выставляют для каждой один из режимов: Always allow (всегда разрешать), Needs approval (спрашивать подтверждение), Blocked (запретить). Важная гарантия из документации: ограничение действий в Claude никогда не расширяет доступ сверх того, что позволяет сам сервис, — оно только сужает.

Конкретные OAuth-скоупы: пример Microsoft 365

Общие слова «дайте доступ, но осторожно» бесполезны, если не видно, что именно запрашивается. Единственный официальный источник с полным списком скоупов по именам — гайд Anthropic по безопасности Microsoft 365. Вот что коннектор запрашивает у Microsoft Graph:

OAuth-скоуп (Microsoft Graph)Что открываетУровень
Mail.ReadЧтение почтыЧтение
Mail.SendОтправка почты от вашего имениЗапись*
Mail.ReadWriteЧерновики, папки, пометкиЗапись*
Calendars.Read / Calendars.ReadWriteКалендарь: чтение / создание и правка событийЧтение / Запись*
Sites.Read.AllЧтение SharePointЧтение
Files.Read.All / Files.ReadWrite.AllФайлы OneDrive и SharePoint: чтение / правкаЧтение / Запись*
Chat.ReadЧтение сообщений TeamsЧтение

* Write-инструменты (отправка, правка, удаление) по умолчанию заблокированы, пока администратор явно их не включит. Teams при этом остаётся только на чтение: постить сообщения и менять настройки Teams коннектор не может в принципе.

Кейс Google Drive: согласие говорит одно, токен даёт другое

А вот пример, где формулировка на экране и реальность расходятся. При подключении Google Drive окно согласия говорит про доступ к «выбранным файлам» — это скоуп drive.file, который сам Google классифицирует как несенситивный. Но независимый технический разбор (note.com со ссылкой на конкретные issues в репозиториях Anthropic на GitHub) показывает, что выданный токен одновременно включает и drive.readonly — чтение всего вашего Google Drive. Проверить это можно самому: после подключения на странице myaccount.google.com/permissions видно, что Anthropic получила «доступ ко всем файлам на Диске».

Это наблюдение независимого исследователя, а не признанный Anthropic факт, и «доступ ко всему» здесь означает ровно «всё, что видит сам пользователь» — коннектор просто визуализирует те широкие настройки шаринга, которые уже накопились у вас на диске. Но есть практическое следствие: drive.readonly — «restricted»-скоуп по классификации Google (строже, чем drive.file), и сузить его в интерфейсе Claude нельзя. Доступен только выбор «подключить целиком или отключить целиком».

Отсюда рабочий приём, который снимает проблему без борьбы с нередактируемым скоупом: не пытайтесь урезать сам доступ, а заведите отдельный «AI-Shared Drive» (или общую папку) и держите там только то, что не жалко показать ИИ. Это переносит контроль на сторону, где он у вас реально есть, — на структуру самого диска.

Что Gmail-коннектор делать не станет

Контринтуитивная, но важная деталь. OAuth-экран Google при подключении Gmail формально упоминает право на отправку писем. Однако Claude сознательно эту часть разрешения не использует: коннектор умеет искать и читать письма и создавать черновики, но отправить письмо от вашего имени не может — каждый ответ ложится в Gmail неотправленным черновиком, который вы отсылаете руками. Anthropic формулирует это прямо: «все письма должны отправляться вручную через ваш аккаунт Gmail».

Отсюда общий принцип, который стоит держать в голове про любой коннектор: «что запрашивает OAuth» не равно «что реально применяется». Асимметрия наглядна у того же Google-коннектора: Calendar и Drive работают на чтение и запись, а отправка почты заблокирована намеренно, как human-in-the-loop-предохранитель.

Сведём это в одну таблицу — что каждый популярный сервис отдаёт Claude:

СервисЧто Claude видитЧто можетЧего не может
GmailПисьма (поиск, чтение)Создавать черновикиОтправлять письма — только вручную вами
Google CalendarСобытия календаряЧитать, создавать и править события
Google DriveФайлы (по факту — весь Диск)Искать, читать, показывать превьюМенять содержимое (коннектор read-only)
SlackКаналы и сообщения, доступные вамЧитать, искать, суммироватьВыходить за пределы ваших прав в Slack
Microsoft TeamsСообщенияЧитатьПисать сообщения, менять настройки

Как подключить коннектор: пошагово

Механика зависит от того, обычный вы пользователь, участник команды или подключаете собственный сервер.

Обычный пользователь (Free / Pro / Max)

  1. Откройте настройки Claude и раздел «Connectors» (или значок «+» в окне диалога).
  2. Выберите нужный сервис из директории и нажмите «Подключить».
  3. Вас перебросит на страницу авторизации самого сервиса (Google, Slack и т.д.) — войдите и подтвердите доступ. Именно здесь стоит внимательно прочитать, какие права запрашиваются.
  4. После возврата в Claude коннектор активен. В диалоге можно попросить, например, найти письмо или файл — модель обратится к сервису.

Team и Enterprise: два шага вместо одного

Здесь подключение двухступенчатое. Сначала Owner или Primary Owner включает коннектор для всей организации в настройках (Organization settings → Connectors). Но включение на уровне организации никому автоматически доступ не даёт: каждый сотрудник затем авторизуется отдельно под своей учётной записью. Это и есть делегированный per-user OAuth — данные одного сотрудника не «протекают» другому через общий коннектор.

Для крупных команд есть бета-функция Enterprise-managed auth: администратор авторизует коннектор один раз через провайдера идентичности (пока поддерживается только Okta), и команда получает доступ автоматически при первом входе. На старте так провижинятся 8 коннекторов — Asana, Atlassian, Canva, Figma, Granola, Linear, Supabase и (скоро) Slack. Отзыв доступа тогда делается депровижинингом в самом Okta.

Кастомный коннектор (свой remote MCP)

  1. В разделе Connectors выберите «Add custom connector» и укажите URL вашего remote MCP-сервера.
  2. Пройдите OAuth-авторизацию сервера, если он её требует.

Ключевой сетевой нюанс: даже в Claude Desktop и Cowork, которые работают локально, Claude обращается к вашему кастомному серверу из облачной инфраструктуры Anthropic, а не с вашего устройства. Значит, сервер должен быть доступен из публичного интернета — за корпоративным файрволом или VPN он не подключится без явного добавления IP-диапазонов Anthropic в allowlist.

Тарифы и лимиты

Базовые коннекторы директории доступны даже бесплатно — платный план нужен в основном под кастомные серверы и админ-контроль.

ПланКоннекторы директорииКастомные (свой remote MCP)Админ-контроль
FreeБез лимита (Slack, Google Workspace и др.)1
Pro / MaxБез лимитаБез лимита
TeamБез лимита, включает Owner на уровне организацииБез лимитаAdmin controls для remote и local коннекторов
Enterprise+ Microsoft 365, Enterprise-managed auth (бета)Без лимита+ IP allowlisting, SCIM, полные аудит-логи, Compliance API

Главное ограничение, о котором спотыкаются на бесплатном плане: коннекторов из директории можно подключать сколько угодно, а вот кастомный remote MCP-сервер — только один. Лимиты тарифов тоже меняются, так что перед выбором плана их стоит сверить на официальном прайсинге.

Безопасность и приватность: хранение данных и отзыв доступа

Куда попадают данные. То, что Claude вытянул через коннектор, сохраняется на серверах Anthropic вместе с привязанным диалогом — удалите чат, и эти данные удалятся вместе с ним. При этом сам сервис-источник (Google, Microsoft и т.д.) обрабатывает данные на своей инфраструктуре и по своим правилам, возможно вне США. Для Microsoft 365 это значит, что как только контент покидает Graph и приходит на серверы Anthropic, он выходит за периметр комплаенс-контролей Microsoft — это стоит учитывать корпоративным пользователям.

Обучение моделей. По умолчанию данные из коннекторов не используются для тренировки моделей. Исключение — потребительские планы (Free/Pro/Max), где с октября 2025 действует opt-in: если вы сами разрешили использовать свои чаты для обучения, то скопированный из Gmail, Drive или Calendar в диалог контент может попасть в тренировку. Планы Team и Enterprise из этого исключены.

Как правильно отозвать доступ. Отключить коннектор кнопкой в Claude — это только половина дела: OAuth-грант может остаться жить на стороне сервиса. Полный отзыв:

  1. В Claude: настройки → Connectors → отключить коннектор.
  2. На стороне Google: myaccount.google.com/permissions → найти Anthropic → удалить доступ.
  3. На стороне Microsoft: администратор убирает согласие в Microsoft Entra Admin Center.
  4. Для чувствительных данных дополнительно удалите сами диалоги, где эти данные всплывали (они хранятся у Anthropic вместе с чатом).

Отдельная настройка для организаций — «Restrict verified-domain connectors to your enterprise»: она не даёт подключить рабочий Gmail или Slack (на верифицированном домене компании) к личному аккаунту Claude вне организации. Она не отменяет уже существующие подключения и не запрещает обратное направление.

Риски: два реальных инцидента и что из них следует

Абстрактное «будьте осторожны» бесполезно. Разберём два задокументированных, независимо подтверждённых прессой случая — и сразу назовём, какие механизмы защиты им противостоят.

Эксфильтрация файлов через Cowork (17 января 2026). Через пару дней после запуска Cowork исследователи PromptArmor показали атаку: скрытая инструкция (белый текст размером 1pt в файле-«скилле» формата .docx) заставляла Claude выполнить curl-команду и загрузить самый крупный доступный файл пользователя в аккаунт атакующего — через легитимный, внесённый в whitelist домен api.anthropic.com. Сработало даже на самой сильной модели, Claude Opus 4.5, и без подтверждения человеком.

Zero-click RCE через связку коннекторов (11 февраля 2026). Команда LayerX продемонстрировала другое: обычное приглашение в Google Calendar с вредоносной инструкцией плюс фраза пользователя «разберись с этим» заставляли Claude Desktop без единого подтверждения скачать, скомпилировать и запустить произвольный код — через MCP-коннектор с доступом к терминалу (Desktop Commander). Это полноценное удалённое выполнение кода с оценкой CVSS 10 из 10. Anthropic решила это не исправлять, назвав сценарий «вне текущей модели угроз».

Оба кейса объединяет одна рамка — «lethal trifecta» Саймона Уиллисона: как только у агента одновременно есть доступ к приватным данным, обработка недоверенного контента и канал наружу, инъекция становится почти неизбежной структурно, а не как случайный баг. Второй кейс добавляет важный урок: опасна именно композиция коннекторов — безобидный Calendar плюс мощный терминальный сервер вместе дают то, чего не даёт ни один из них по отдельности.

Есть и системный эффект «пирамиды доверия» (формулировка pluto.security): одобряя коннектор или плагин, вы транзитивно одобряете все вложенные компоненты — MCP-серверы, скиллы, хуки. Один клик «Разрешить» значит больше, чем кажется. Тот же трекер ClaudeSec из 380+ отслеживаемых коннекторов пометил 143 как высокорисковые (например, серверы с shell-доступом без песочницы) — это независимая оценка, не подтверждённая и не оспоренная Anthropic.

Для полноты картины назовём и то, что работает на защиту:

  • Tool permissions (Always allow / Needs approval / Blocked) — по умолчанию write-инструменты у корпоративных коннекторов заблокированы.
  • Делегированный per-user OAuth — Claude действует с вашими правами, без общих сервисных аккаунтов с повышенными привилегиями.
  • Сертификации — коннектор Microsoft 365 покрыт SOC 2 и ISO 27001.
  • Отзыв доступа в один клик на стороне Claude плюс отзыв гранта на стороне сервиса.
  • Human-in-the-loop там, где цена ошибки высока (Gmail не отправляет письма сам).

Практический вывод: относитесь к правам по принципу наименьших привилегий. Подключайте только нужные сервисы, держите отдельную папку/диск под ИИ, для чувствительных данных предпочитайте read-only, и периодически проверяйте на стороне сервиса, кому вы что выдали.

Продвинутые приёмы: режимы доступа к инструментам

Когда коннекторов становится много, каждый из них «занимает место» в контексте модели и может замедлять и путать ответы. Управляется это режимами загрузки инструментов:

  • Auto (по умолчанию) — Claude сам решает, какие коннекторы подгрузить под задачу.
  • Always available — все инструменты сразу; подходит, когда коннекторов меньше 10 и вы пользуетесь ими постоянно.
  • On demand — инструменты подгружаются по запросу; рекомендуется от 10 коннекторов и больше, чтобы не забивать контекст.

Ещё один нюанс для продвинутых — «поверхностная асимметрия»: один и тот же MCP-сервер безопасен в песочнице Claude API (нет исходящей сети) и потенциально опасен в Claude Code, где у него полные локальные права. Оценивать риск нужно по поверхности запуска, а не по названию коннектора: «безопасный» сервер на одной поверхности не гарантирует безопасность на другой.

FAQ

Может ли Claude отправлять письма или удалять файлы без моего ведома?

Нет. Gmail-коннектор создаёт только черновики — отправка всегда ручная. У корпоративных коннекторов write-инструменты (правка, удаление) по умолчанию заблокированы, пока администратор их явно не включит, а сам коннектор не может выйти за пределы прав, которые есть у вас в сервисе.

Как полностью отозвать доступ, который я выдал коннектору?

Отключения кнопкой в Claude недостаточно — OAuth-грант остаётся на стороне сервиса. Нужно ещё удалить доступ Anthropic там: у Google — на myaccount.google.com/permissions, у Microsoft — через Entra Admin Center. Для чувствительных данных дополнительно удалите диалоги, в которых эти данные всплывали.

Мои данные из Gmail и Drive используются для обучения моделей?

По умолчанию — нет. Исключение только для потребительских планов (Free/Pro/Max), где с октября 2025 есть opt-in на обучение по чатам: если вы его включили, скопированный из коннектора в диалог контент может попасть в тренировку. Планы Team и Enterprise из этого исключены.

Чем коннектор из директории отличается от кастомного и локального MCP-сервера?

Коннектор из директории — облачный сервер, проверенный Anthropic, работает везде одинаково. Кастомный — ваш собственный remote-сервер по URL, Anthropic его не проверяла. Локальный (desktop extension) запускается на вашей машине с полными локальными правами и доступен только в Claude Desktop и Claude Code. Модель доверия у них разная — от самой строгой к самой рискованной именно в этом порядке.

Безопасно ли подключать рабочий Google Drive к Claude?

С оговорками. Коннектор наследует ваши права и работает только на чтение, но выданный токен покрывает весь диск, а не «выбранные файлы», и сузить это в Claude нельзя. Безопаснее держать под ИИ отдельную папку или общий диск с тем, что не жалко показать, чем открывать основной рабочий Drive целиком.

Курс «Claude Code с нуля до продакшена» · модуль «Интерфейсы экосистемы». Полная программа и два маршрута обучения — на странице курса.

Предыдущий урок: Claude Code везде: CLI, Desktop, Mobile

Поделиться
Связаться:
Крипто- и data-аналитик, инженер-программист (факультет компьютерных наук ХНУРЭ). В IT с 2008 года: администрировал корпоративный мониторинг в «Vodafone Украина», семь лет разрабатывал и продвигал веб-проекты, пять лет руководил маркетингом на метриках — конверсия, CTR, ROI, LTV.Криптовалютными рынками занимаюсь с 2021 года: ончейн-метрики, токеномика, макроэкономические индикаторы. Разработал собственную data-driven модель анализа рынка на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математическая статистика и EDA; сбор и сверку данных автоматизирую AI-агентами.Принцип — «Don't trust, verify»: каждая цифра проверена по первоисточнику, ключевые — минимум по двум независимым; прогнозы — только сценарии с условиями. Тезис без данных не публикуется.