Коротко (TL;DR)
Конектори Claude — це готові підключення до зовнішніх сервісів (Gmail, Google Drive, Slack, Microsoft 365, GitHub і сотень інших), через які модель може шукати ваші дані та виконувати дії просто в діалозі. Головне правило про права доступу Claude: конектор не дає ШІ «доступ до всього», а успадковує права конкретного користувача. Якщо файл чи канал недоступний вам, конектору він теж недоступний.
- Коротко (TL;DR)
- Що таке конектори Claude і до чого тут MCP
- Каталог: які сервіси можна підключити
- Права доступу: що конектор насправді бачить і може
- Як підключити конектор: покроково
- Тарифи та ліміти
- Безпека та приватність: зберігання даних і відкликання доступу
- Ризики: два реальні інциденти і що з них випливає
- Просунуті прийоми: режими доступу до інструментів
- FAQ
Але є нюанс, який змінює всю картину. Реальний обсяг виданих OAuth-прав іноді ширший, ніж каже екран згоди. Класичний приклад — Google Drive: у вікні підтвердження написано про «вибрані файли», а токен отримує доступ на читання всього диска, і звузити це в інтерфейсі Claude не можна.
- Що отримаєте: розуміння, що саме бачить і може кожен конектор, як підключити сервіс за пару хвилин і як коректно відкликати доступ.
- Що потрібно: акаунт у самому сервісі (Google, Slack тощо) і будь-який план Claude — базові конектори директорії працюють навіть на безплатному.
- Модель прав в одному реченні: «що запитує OAuth» не дорівнює «що конектор насправді робить» — Gmail-конектор, наприклад, уміє писати чернетки, але фізично не надсилає листи.
Що таке конектори Claude і до чого тут MCP
Конектор — це керована обгортка навколо MCP-сервера. MCP (Model Context Protocol) — відкритий стандарт, який Anthropic випустила в грудні 2024 року, щоб ШІ-застосунки однаково підключалися до інструментів і даних. Конектори працюють поверх нього на всіх поверхнях: у веб-версії Claude, Claude Desktop, Claude Code і через API. По суті конектор із директорії — це готовий віддалений MCP-сервер, який пройшов модерацію Anthropic, із зрозумілою кнопкою «Підключити» замість ручного налаштування.
MCP — той самий стандарт, на якому будуються й інші інструменти та веб-пошук для ШІ-агентів: протокол описує, як модель «дотягується» до зовнішнього світу. Глибокий розбір самого протоколу з погляду розробника — тема окремої статті курсу (модуль E7, «MCP у Claude Code»); тут ми дивимося на конектори очима звичайного користувача і розбираємо саме права доступу.
Корисно одразу розвести три речі, які часто плутають, бо в них різна модель довіри:
- Конектор із директорії — хмарний (remote) MCP-сервер SaaS-сервісу, схвалений Anthropic. Працює однаково всюди. Найбезпечніший варіант.
- Кастомний конектор — ваш власний remote MCP-сервер, який ви підключаєте за URL. Anthropic його не перевіряла.
- Локальний MCP-сервер (desktop extension) — запускається на вашій машині з повними локальними правами (файлова система, мережа) і доступний лише в Claude Desktop і Claude Code, не у вебі й не на мобільному. З погляду безпеки це стороннє ПЗ, встановлене на комп’ютер.
Ставка на інтеграції — частина продуктової лінійки Anthropic: у розборі Claude Science видно, як конектори прибирають ручну метушню з перенесенням даних між сервісами, а не додають «ще одну функцію».
Каталог: які сервіси можна підключити
Директорія росла дуже швидко. Офіційний блог Anthropic називав 200+ сторонніх конекторів на 23 квітня 2026 і вже 300+ на 8 червня 2026. Незалежні трекери оцінюють це число ширше: проєкт awesome-claude-connectors на GitHub нараховував 554 конектори на 2 липня 2026, а security-трекер ClaudeSec — 380+ ще на 29 квітня 2026. Розбіжність пояснюється методикою підрахунку: сторонні каталоги оновлюються частіше і включають community-сервери, яких немає в офіційному анонсі. Точне актуальне число завжди варто дивитися в офіційній директорії на claude.com/connectors — це цифра, яка застаріває першою.
Ключові категорії та приклади:Категорія Приклади сервісів Тип Продуктивність і пошта Gmail, Google Calendar, Google Drive, Microsoft 365, Notion Verified Командна робота Slack, Atlassian (Jira/Confluence), Asana, Linear, Figma, Canva Verified Розробка GitHub, Supabase, Sentry Verified Споживчі Uber, Spotify, DocuSign Verified Власний сервер Кастомний remote MCP за URL Community / власний
У директорії конектори поділяються на перевірені Anthropic (verified) і створені спільнотою (community). Для community-серверів діє те саме правило, що й для будь-якого стороннього ПЗ: довіра до нього — на вашій стороні.
Наприклад, конектор Slack перетворює Claude на постійного ШІ-колегу в робочому чаті: він шукає та підсумовує повідомлення в каналах, до яких у вас уже є доступ.
Права доступу: що конектор насправді бачить і може
Це ядро статті. Розберемо механіку по шарах: як працює успадкування, які саме OAuth-скоупи запитуються, де формулювання розходиться з реальністю і що конектор робити не буде.
Успадкування прав і обмеження дій
Базовий принцип: Claude діє від вашого імені й з вашими правами. Це називається делегованим доступом. У випадку Microsoft 365, наприклад, конектор працює через застосунок «M365 MCP Server for Claude» з делегованими правами Graph API — тобто від імені вашого облікового запису, а не під спільною підвищеною сервісною роллю.
Обмежити дії можна через Tool permissions. Власники Team і Enterprise ділять інструменти конектора на категорії (тільки читання / запис-видалення) і виставляють для кожної один із режимів: Always allow (завжди дозволяти), Needs approval (питати підтвердження), Blocked (заборонити). Важлива гарантія з документації: обмеження дій у Claude ніколи не розширює доступ понад те, що дозволяє сам сервіс, — воно лише звужує.
Конкретні OAuth-скоупи: приклад Microsoft 365
Загальні слова «дайте доступ, але обережно» марні, якщо не видно, що саме запитується. Єдине офіційне джерело з повним списком скоупів за іменами — гайд Anthropic з безпеки Microsoft 365. Ось що конектор запитує у Microsoft Graph:OAuth-скоуп (Microsoft Graph) Що відкриває Рівень Mail.Read Читання пошти Читання Mail.Send Надсилання пошти від вашого імені Запис* Mail.ReadWrite Чернетки, папки, позначки Запис* Calendars.Read / Calendars.ReadWrite Календар: читання / створення та правка подій Читання / Запис* Sites.Read.All Читання SharePoint Читання Files.Read.All / Files.ReadWrite.All Файли OneDrive і SharePoint: читання / правка Читання / Запис* Chat.Read Читання повідомлень Teams Читання
* Write-інструменти (надсилання, правка, видалення) за замовчуванням заблоковані, доки адміністратор явно їх не увімкне. Teams при цьому лишається лише на читання: постити повідомлення й змінювати налаштування Teams конектор не може в принципі.
Кейс Google Drive: згода каже одне, токен дає інше
А ось приклад, де формулювання на екрані і реальність розходяться. Під час підключення Google Drive вікно згоди повідомляє про доступ до «вибраних файлів» — це скоуп drive.file, який сам Google класифікує як несенситивний. Але незалежний технічний розбір (note.com із посиланням на конкретні issues в репозиторіях Anthropic на GitHub) показує, що виданий токен одночасно включає й drive.readonly — читання всього вашого Google Drive. Перевірити це можна самостійно: після підключення на сторінці myaccount.google.com/permissions видно, що Anthropic отримала «доступ до всіх файлів на Диску».
Це спостереження незалежного дослідника, а не визнаний Anthropic факт, і «доступ до всього» тут означає рівно «все, що бачить сам користувач» — конектор просто візуалізує ті широкі налаштування шерингу, які вже накопичилися у вас на диску. Але є практичний наслідок: drive.readonly — «restricted»-скоуп за класифікацією Google (суворіший за drive.file), і звузити його в інтерфейсі Claude не можна. Доступний лише вибір «підключити цілком або відключити цілком».
Звідси робочий прийом, який знімає проблему без боротьби з нередагованим скоупом: не намагайтеся урізати сам доступ, а заведіть окремий «AI-Shared Drive» (або спільну папку) і тримайте там лише те, що не шкода показати ШІ. Це переносить контроль на бік, де він у вас реально є, — на структуру самого диска.
Що Gmail-конектор робити не буде
Контрінтуїтивна, але важлива деталь. OAuth-екран Google під час підключення Gmail формально згадує право на надсилання листів. Однак Claude свідомо цю частину дозволу не використовує: конектор уміє шукати й читати листи та створювати чернетки, але надіслати лист від вашого імені не може — кожна відповідь лягає в Gmail невідправленою чернеткою, яку ви відсилаєте власноруч. Anthropic формулює це прямо: «усі листи мають надсилатися вручну через ваш акаунт Gmail».
Звідси загальний принцип, який варто тримати в голові про будь-який конектор: «що запитує OAuth» не дорівнює «що реально застосовується». Асиметрія наочна в того самого Google-конектора: Calendar і Drive працюють на читання й запис, а надсилання пошти заблоковане навмисно, як human-in-the-loop-запобіжник.
Зведемо це в одну таблицю — що кожен популярний сервіс віддає Claude:Сервіс Що бачить Claude Що може Чого не може Gmail Листи (пошук, читання) Створювати чернетки Надсилати листи — лише вручну вами Google Calendar Події календаря Читати, створювати й правити події — Google Drive Файли (фактично — увесь Диск) Шукати, читати, показувати перегляд Змінювати вміст (конектор read-only) Slack Канали й повідомлення, доступні вам Читати, шукати, підсумовувати Виходити за межі ваших прав у Slack Microsoft Teams Повідомлення Читати Писати повідомлення, змінювати налаштування
Як підключити конектор: покроково
Механіка залежить від того, ви звичайний користувач, учасник команди чи підключаєте власний сервер.
Звичайний користувач (Free / Pro / Max)
- Відкрийте налаштування Claude і розділ «Connectors» (або значок «+» у вікні діалогу).
- Виберіть потрібний сервіс із директорії й натисніть «Підключити».
- Вас перекине на сторінку авторизації самого сервісу (Google, Slack тощо) — увійдіть і підтвердіть доступ. Саме тут варто уважно прочитати, які права запитуються.
- Після повернення в Claude конектор активний. У діалозі можна попросити, наприклад, знайти лист чи файл — модель звернеться до сервісу.
Team і Enterprise: два кроки замість одного
Тут підключення двоступеневе. Спершу Owner або Primary Owner вмикає конектор для всієї організації в налаштуваннях (Organization settings → Connectors). Але увімкнення на рівні організації нікому автоматично доступу не дає: кожен співробітник потім авторизується окремо під своїм обліковим записом. Це і є делегований per-user OAuth — дані одного співробітника не «перетікають» до іншого через спільний конектор.
Для великих команд є бета-функція Enterprise-managed auth: адміністратор авторизує конектор один раз через провайдера ідентичності (поки підтримується лише Okta), і команда отримує доступ автоматично під час першого входу. На старті так провіжиняться 8 конекторів — Asana, Atlassian, Canva, Figma, Granola, Linear, Supabase і (незабаром) Slack. Відкликання доступу тоді робиться депровіжинінгом у самій Okta.
Кастомний конектор (свій remote MCP)
- У розділі Connectors виберіть «Add custom connector» і вкажіть URL вашого remote MCP-сервера.
- Пройдіть OAuth-авторизацію сервера, якщо він її вимагає.
Ключовий мережевий нюанс: навіть у Claude Desktop і Cowork, які працюють локально, Claude звертається до вашого кастомного сервера з хмарної інфраструктури Anthropic, а не з вашого пристрою. Отже, сервер має бути доступний із публічного інтернету — за корпоративним файрволом чи VPN він не підключиться без явного додавання IP-діапазонів Anthropic в allowlist.
Тарифи та ліміти
Базові конектори директорії доступні навіть безплатно — платний план потрібен переважно під кастомні сервери й адмін-контроль.План Конектори директорії Кастомні (свій remote MCP) Адмін-контроль Free Без ліміту (Slack, Google Workspace та ін.) 1 — Pro / Max Без ліміту Без ліміту — Team Без ліміту, включає Owner на рівні організації Без ліміту Admin controls для remote і local конекторів Enterprise + Microsoft 365, Enterprise-managed auth (бета) Без ліміту + IP allowlisting, SCIM, повні аудит-логи, Compliance API
Головне обмеження, через яке спотикаються на безплатному плані: конекторів із директорії можна підключати скільки завгодно, а от кастомний remote MCP-сервер — лише один. Ліміти тарифів теж змінюються, тож перед вибором плану їх варто звірити з офіційним прайсингом.
Безпека та приватність: зберігання даних і відкликання доступу
Куди потрапляють дані. Те, що Claude витягнув через конектор, зберігається на серверах Anthropic разом із прив’язаним діалогом — видаліть чат, і ці дані видаляться разом із ним. При цьому сам сервіс-джерело (Google, Microsoft тощо) обробляє дані на своїй інфраструктурі й за своїми правилами, можливо поза межами США. Для Microsoft 365 це означає, що щойно контент залишає Graph і потрапляє на сервери Anthropic, він виходить за периметр комплаєнс-контролів Microsoft — це варто враховувати корпоративним користувачам.
Навчання моделей. За замовчуванням дані з конекторів не використовуються для тренування моделей. Виняток — споживчі плани (Free/Pro/Max), де з жовтня 2025 діє opt-in: якщо ви самі дозволили використовувати свої чати для навчання, то скопійований із Gmail, Drive чи Calendar у діалог контент може потрапити в тренування. Плани Team і Enterprise з цього виключені.
Як правильно відкликати доступ. Вимкнути конектор кнопкою в Claude — це лише половина справи: OAuth-грант може залишитися жити на боці сервісу. Повне відкликання:
- У Claude: налаштування → Connectors → вимкнути конектор.
- На боці Google: myaccount.google.com/permissions → знайти Anthropic → видалити доступ.
- На боці Microsoft: адміністратор прибирає згоду в Microsoft Entra Admin Center.
- Для чутливих даних додатково видаліть самі діалоги, де ці дані спливали (вони зберігаються в Anthropic разом із чатом).
Окреме налаштування для організацій — «Restrict verified-domain connectors to your enterprise»: воно не дає підключити робочий Gmail чи Slack (на верифікованому домені компанії) до особистого акаунту Claude поза організацією. Воно не скасовує вже наявні підключення і не забороняє зворотний напрямок.
Ризики: два реальні інциденти і що з них випливає
Абстрактне «будьте обережні» марне. Розберемо два задокументовані, незалежно підтверджені пресою випадки — і одразу назвемо, які механізми захисту їм протистоять.
Ексфільтрація файлів через Cowork (17 січня 2026). Через пару днів після запуску Cowork дослідники PromptArmor показали атаку: прихована інструкція (білий текст розміром 1pt у файлі-«скіллі» формату .docx) змушувала Claude виконати curl-команду і завантажити найбільший доступний файл користувача в акаунт атакувального — через легітимний, внесений у whitelist домен api.anthropic.com. Спрацювало навіть на найсильнішій моделі, Claude Opus 4.5, і без підтвердження людиною.
Zero-click RCE через звʼязку конекторів (11 лютого 2026). Команда LayerX продемонструвала інше: звичайне запрошення в Google Calendar зі шкідливою інструкцією плюс фраза користувача «розберись із цим» змушували Claude Desktop без жодного підтвердження завантажити, скомпілювати і запустити довільний код — через MCP-конектор із доступом до термінала (Desktop Commander). Це повноцінне віддалене виконання коду з оцінкою CVSS 10 з 10. Anthropic вирішила це не виправляти, назвавши сценарій «поза поточною моделлю загроз».
Обидва кейси об’єднує одна рамка — «lethal trifecta» Саймона Віллісона: щойно в агента одночасно є доступ до приватних даних, обробка недовіреного контенту і канал назовні, ін’єкція стає майже неминучою структурно, а не як випадковий баг. Другий кейс додає важливий урок: небезпечна саме композиція конекторів — нешкідливий Calendar плюс потужний термінальний сервер разом дають те, чого не дає жоден із них окремо.
Є і системний ефект «піраміди довіри» (формулювання pluto.security): схвалюючи конектор чи плагін, ви транзитивно схвалюєте всі вкладені компоненти — MCP-сервери, скіли, хуки. Один клік «Дозволити» означає більше, ніж здається. Той самий трекер ClaudeSec із 380+ відстежуваних конекторів позначив 143 як високоризикові (наприклад, сервери з shell-доступом без пісочниці) — це незалежна оцінка, не підтверджена і не оскаржена Anthropic.
Для повноти картини назвемо і те, що працює на захист:
- Tool permissions (Always allow / Needs approval / Blocked) — за замовчуванням write-інструменти в корпоративних конекторів заблоковані.
- Делегований per-user OAuth — Claude діє з вашими правами, без спільних сервісних акаунтів із підвищеними привілеями.
- Сертифікації — конектор Microsoft 365 покритий SOC 2 і ISO 27001.
- Відкликання доступу в один клік на боці Claude плюс відкликання гранту на боці сервісу.
- Human-in-the-loop там, де ціна помилки висока (Gmail не надсилає листи сам).
Практичний висновок: ставтеся до прав за принципом найменших привілеїв. Підключайте лише потрібні сервіси, тримайте окрему папку/диск під ШІ, для чутливих даних віддавайте перевагу read-only, і періодично перевіряйте на боці сервісу, кому ви що видали.
Просунуті прийоми: режими доступу до інструментів
Коли конекторів стає багато, кожен із них «займає місце» в контексті моделі й може сповільнювати та плутати відповіді. Керується це режимами завантаження інструментів:
- Auto (за замовчуванням) — Claude сам вирішує, які конектори підвантажити під завдання.
- Always available — усі інструменти одразу; підходить, коли конекторів менше 10 і ви користуєтеся ними постійно.
- On demand — інструменти підвантажуються за запитом; рекомендується від 10 конекторів і більше, щоб не забивати контекст.
Ще один нюанс для просунутих — «поверхнева асиметрія»: один і той самий MCP-сервер безпечний у пісочниці Claude API (немає вихідної мережі) і потенційно небезпечний у Claude Code, де в нього повні локальні права. Оцінювати ризик треба за поверхнею запуску, а не за назвою конектора: «безпечний» сервер на одній поверхні не гарантує безпеку на іншій.
FAQ
Чи може Claude надсилати листи або видаляти файли без мого відома?
Ні. Gmail-конектор створює лише чернетки — надсилання завжди ручне. У корпоративних конекторів write-інструменти (правка, видалення) за замовчуванням заблоковані, доки адміністратор їх явно не увімкне, а сам конектор не може вийти за межі прав, які є у вас у сервісі.
Як повністю відкликати доступ, який я видав конектору?
Вимкнення кнопкою в Claude недостатньо — OAuth-грант лишається на боці сервісу. Треба ще видалити доступ Anthropic там: у Google — на myaccount.google.com/permissions, у Microsoft — через Entra Admin Center. Для чутливих даних додатково видаліть діалоги, в яких ці дані спливали.
Мої дані з Gmail і Drive використовуються для навчання моделей?
За замовчуванням — ні. Виняток лише для споживчих планів (Free/Pro/Max), де з жовтня 2025 є opt-in на навчання за чатами: якщо ви його увімкнули, скопійований із конектора в діалог контент може потрапити в тренування. Плани Team і Enterprise з цього виключені.
Чим конектор із директорії відрізняється від кастомного й локального MCP-сервера?
Конектор із директорії — хмарний сервер, перевірений Anthropic, працює всюди однаково. Кастомний — ваш власний remote-сервер за URL, Anthropic його не перевіряла. Локальний (desktop extension) запускається на вашій машині з повними локальними правами і доступний лише в Claude Desktop і Claude Code. Модель довіри в них різна — від найсуворішої до найризикованішої саме в цьому порядку.
Чи безпечно підключати робочий Google Drive до Claude?
Із застереженнями. Конектор успадковує ваші права і працює лише на читання, але виданий токен покриває весь диск, а не «вибрані файли», і звузити це в Claude не можна. Безпечніше тримати під ШІ окрему папку чи спільний диск із тим, що не шкода показати, ніж відкривати основний робочий Drive повністю.
Курс «Claude Code з нуля до продакшену» · модуль «Інтерфейси екосистеми». Повна програма і два маршрути навчання — на сторінці курсу.
Попередній урок: Claude Code скрізь: CLI, Desktop, Mobile
