Конектори Claude: що ШІ насправді бачить у ваших сервісах і як це обмежити

21 хв. читання

Коротко (TL;DR)

Конектори Claude — це готові підключення до зовнішніх сервісів (Gmail, Google Drive, Slack, Microsoft 365, GitHub і сотень інших), через які модель може шукати ваші дані та виконувати дії просто в діалозі. Головне правило про права доступу Claude: конектор не дає ШІ «доступ до всього», а успадковує права конкретного користувача. Якщо файл чи канал недоступний вам, конектору він теж недоступний.

Але є нюанс, який змінює всю картину. Реальний обсяг виданих OAuth-прав іноді ширший, ніж каже екран згоди. Класичний приклад — Google Drive: у вікні підтвердження написано про «вибрані файли», а токен отримує доступ на читання всього диска, і звузити це в інтерфейсі Claude не можна.

  • Що отримаєте: розуміння, що саме бачить і може кожен конектор, як підключити сервіс за пару хвилин і як коректно відкликати доступ.
  • Що потрібно: акаунт у самому сервісі (Google, Slack тощо) і будь-який план Claude — базові конектори директорії працюють навіть на безплатному.
  • Модель прав в одному реченні: «що запитує OAuth» не дорівнює «що конектор насправді робить» — Gmail-конектор, наприклад, уміє писати чернетки, але фізично не надсилає листи.

Що таке конектори Claude і до чого тут MCP

Конектор — це керована обгортка навколо MCP-сервера. MCP (Model Context Protocol) — відкритий стандарт, який Anthropic випустила в грудні 2024 року, щоб ШІ-застосунки однаково підключалися до інструментів і даних. Конектори працюють поверх нього на всіх поверхнях: у веб-версії Claude, Claude Desktop, Claude Code і через API. По суті конектор із директорії — це готовий віддалений MCP-сервер, який пройшов модерацію Anthropic, із зрозумілою кнопкою «Підключити» замість ручного налаштування.

MCP — той самий стандарт, на якому будуються й інші інструменти та веб-пошук для ШІ-агентів: протокол описує, як модель «дотягується» до зовнішнього світу. Глибокий розбір самого протоколу з погляду розробника — тема окремої статті курсу (модуль E7, «MCP у Claude Code»); тут ми дивимося на конектори очима звичайного користувача і розбираємо саме права доступу.

Корисно одразу розвести три речі, які часто плутають, бо в них різна модель довіри:

  • Конектор із директорії — хмарний (remote) MCP-сервер SaaS-сервісу, схвалений Anthropic. Працює однаково всюди. Найбезпечніший варіант.
  • Кастомний конектор — ваш власний remote MCP-сервер, який ви підключаєте за URL. Anthropic його не перевіряла.
  • Локальний MCP-сервер (desktop extension) — запускається на вашій машині з повними локальними правами (файлова система, мережа) і доступний лише в Claude Desktop і Claude Code, не у вебі й не на мобільному. З погляду безпеки це стороннє ПЗ, встановлене на комп’ютер.

Ставка на інтеграції — частина продуктової лінійки Anthropic: у розборі Claude Science видно, як конектори прибирають ручну метушню з перенесенням даних між сервісами, а не додають «ще одну функцію».

Каталог: які сервіси можна підключити

Директорія росла дуже швидко. Офіційний блог Anthropic називав 200+ сторонніх конекторів на 23 квітня 2026 і вже 300+ на 8 червня 2026. Незалежні трекери оцінюють це число ширше: проєкт awesome-claude-connectors на GitHub нараховував 554 конектори на 2 липня 2026, а security-трекер ClaudeSec — 380+ ще на 29 квітня 2026. Розбіжність пояснюється методикою підрахунку: сторонні каталоги оновлюються частіше і включають community-сервери, яких немає в офіційному анонсі. Точне актуальне число завжди варто дивитися в офіційній директорії на claude.com/connectors — це цифра, яка застаріває першою.

Ключові категорії та приклади:

КатегоріяПриклади сервісівТип
Продуктивність і поштаGmail, Google Calendar, Google Drive, Microsoft 365, NotionVerified
Командна роботаSlack, Atlassian (Jira/Confluence), Asana, Linear, Figma, CanvaVerified
РозробкаGitHub, Supabase, SentryVerified
СпоживчіUber, Spotify, DocuSignVerified
Власний серверКастомний remote MCP за URLCommunity / власний

У директорії конектори поділяються на перевірені Anthropic (verified) і створені спільнотою (community). Для community-серверів діє те саме правило, що й для будь-якого стороннього ПЗ: довіра до нього — на вашій стороні.

Наприклад, конектор Slack перетворює Claude на постійного ШІ-колегу в робочому чаті: він шукає та підсумовує повідомлення в каналах, до яких у вас уже є доступ.

Права доступу: що конектор насправді бачить і може

Це ядро статті. Розберемо механіку по шарах: як працює успадкування, які саме OAuth-скоупи запитуються, де формулювання розходиться з реальністю і що конектор робити не буде.

Успадкування прав і обмеження дій

Базовий принцип: Claude діє від вашого імені й з вашими правами. Це називається делегованим доступом. У випадку Microsoft 365, наприклад, конектор працює через застосунок «M365 MCP Server for Claude» з делегованими правами Graph API — тобто від імені вашого облікового запису, а не під спільною підвищеною сервісною роллю.

Обмежити дії можна через Tool permissions. Власники Team і Enterprise ділять інструменти конектора на категорії (тільки читання / запис-видалення) і виставляють для кожної один із режимів: Always allow (завжди дозволяти), Needs approval (питати підтвердження), Blocked (заборонити). Важлива гарантія з документації: обмеження дій у Claude ніколи не розширює доступ понад те, що дозволяє сам сервіс, — воно лише звужує.

Конкретні OAuth-скоупи: приклад Microsoft 365

Загальні слова «дайте доступ, але обережно» марні, якщо не видно, що саме запитується. Єдине офіційне джерело з повним списком скоупів за іменами — гайд Anthropic з безпеки Microsoft 365. Ось що конектор запитує у Microsoft Graph:

OAuth-скоуп (Microsoft Graph)Що відкриваєРівень
Mail.ReadЧитання поштиЧитання
Mail.SendНадсилання пошти від вашого іменіЗапис*
Mail.ReadWriteЧернетки, папки, позначкиЗапис*
Calendars.Read / Calendars.ReadWriteКалендар: читання / створення та правка подійЧитання / Запис*
Sites.Read.AllЧитання SharePointЧитання
Files.Read.All / Files.ReadWrite.AllФайли OneDrive і SharePoint: читання / правкаЧитання / Запис*
Chat.ReadЧитання повідомлень TeamsЧитання

* Write-інструменти (надсилання, правка, видалення) за замовчуванням заблоковані, доки адміністратор явно їх не увімкне. Teams при цьому лишається лише на читання: постити повідомлення й змінювати налаштування Teams конектор не може в принципі.

Кейс Google Drive: згода каже одне, токен дає інше

А ось приклад, де формулювання на екрані і реальність розходяться. Під час підключення Google Drive вікно згоди повідомляє про доступ до «вибраних файлів» — це скоуп drive.file, який сам Google класифікує як несенситивний. Але незалежний технічний розбір (note.com із посиланням на конкретні issues в репозиторіях Anthropic на GitHub) показує, що виданий токен одночасно включає й drive.readonly — читання всього вашого Google Drive. Перевірити це можна самостійно: після підключення на сторінці myaccount.google.com/permissions видно, що Anthropic отримала «доступ до всіх файлів на Диску».

Це спостереження незалежного дослідника, а не визнаний Anthropic факт, і «доступ до всього» тут означає рівно «все, що бачить сам користувач» — конектор просто візуалізує ті широкі налаштування шерингу, які вже накопичилися у вас на диску. Але є практичний наслідок: drive.readonly — «restricted»-скоуп за класифікацією Google (суворіший за drive.file), і звузити його в інтерфейсі Claude не можна. Доступний лише вибір «підключити цілком або відключити цілком».

Звідси робочий прийом, який знімає проблему без боротьби з нередагованим скоупом: не намагайтеся урізати сам доступ, а заведіть окремий «AI-Shared Drive» (або спільну папку) і тримайте там лише те, що не шкода показати ШІ. Це переносить контроль на бік, де він у вас реально є, — на структуру самого диска.

Що Gmail-конектор робити не буде

Контрінтуїтивна, але важлива деталь. OAuth-екран Google під час підключення Gmail формально згадує право на надсилання листів. Однак Claude свідомо цю частину дозволу не використовує: конектор уміє шукати й читати листи та створювати чернетки, але надіслати лист від вашого імені не може — кожна відповідь лягає в Gmail невідправленою чернеткою, яку ви відсилаєте власноруч. Anthropic формулює це прямо: «усі листи мають надсилатися вручну через ваш акаунт Gmail».

Звідси загальний принцип, який варто тримати в голові про будь-який конектор: «що запитує OAuth» не дорівнює «що реально застосовується». Асиметрія наочна в того самого Google-конектора: Calendar і Drive працюють на читання й запис, а надсилання пошти заблоковане навмисно, як human-in-the-loop-запобіжник.

Зведемо це в одну таблицю — що кожен популярний сервіс віддає Claude:

СервісЩо бачить ClaudeЩо можеЧого не може
GmailЛисти (пошук, читання)Створювати чернеткиНадсилати листи — лише вручну вами
Google CalendarПодії календаряЧитати, створювати й правити події
Google DriveФайли (фактично — увесь Диск)Шукати, читати, показувати переглядЗмінювати вміст (конектор read-only)
SlackКанали й повідомлення, доступні вамЧитати, шукати, підсумовуватиВиходити за межі ваших прав у Slack
Microsoft TeamsПовідомленняЧитатиПисати повідомлення, змінювати налаштування

Як підключити конектор: покроково

Механіка залежить від того, ви звичайний користувач, учасник команди чи підключаєте власний сервер.

Звичайний користувач (Free / Pro / Max)

  1. Відкрийте налаштування Claude і розділ «Connectors» (або значок «+» у вікні діалогу).
  2. Виберіть потрібний сервіс із директорії й натисніть «Підключити».
  3. Вас перекине на сторінку авторизації самого сервісу (Google, Slack тощо) — увійдіть і підтвердіть доступ. Саме тут варто уважно прочитати, які права запитуються.
  4. Після повернення в Claude конектор активний. У діалозі можна попросити, наприклад, знайти лист чи файл — модель звернеться до сервісу.

Team і Enterprise: два кроки замість одного

Тут підключення двоступеневе. Спершу Owner або Primary Owner вмикає конектор для всієї організації в налаштуваннях (Organization settings → Connectors). Але увімкнення на рівні організації нікому автоматично доступу не дає: кожен співробітник потім авторизується окремо під своїм обліковим записом. Це і є делегований per-user OAuth — дані одного співробітника не «перетікають» до іншого через спільний конектор.

Для великих команд є бета-функція Enterprise-managed auth: адміністратор авторизує конектор один раз через провайдера ідентичності (поки підтримується лише Okta), і команда отримує доступ автоматично під час першого входу. На старті так провіжиняться 8 конекторів — Asana, Atlassian, Canva, Figma, Granola, Linear, Supabase і (незабаром) Slack. Відкликання доступу тоді робиться депровіжинінгом у самій Okta.

Кастомний конектор (свій remote MCP)

  1. У розділі Connectors виберіть «Add custom connector» і вкажіть URL вашого remote MCP-сервера.
  2. Пройдіть OAuth-авторизацію сервера, якщо він її вимагає.

Ключовий мережевий нюанс: навіть у Claude Desktop і Cowork, які працюють локально, Claude звертається до вашого кастомного сервера з хмарної інфраструктури Anthropic, а не з вашого пристрою. Отже, сервер має бути доступний із публічного інтернету — за корпоративним файрволом чи VPN він не підключиться без явного додавання IP-діапазонів Anthropic в allowlist.

Тарифи та ліміти

Базові конектори директорії доступні навіть безплатно — платний план потрібен переважно під кастомні сервери й адмін-контроль.

ПланКонектори директоріїКастомні (свій remote MCP)Адмін-контроль
FreeБез ліміту (Slack, Google Workspace та ін.)1
Pro / MaxБез лімітуБез ліміту
TeamБез ліміту, включає Owner на рівні організаціїБез лімітуAdmin controls для remote і local конекторів
Enterprise+ Microsoft 365, Enterprise-managed auth (бета)Без ліміту+ IP allowlisting, SCIM, повні аудит-логи, Compliance API

Головне обмеження, через яке спотикаються на безплатному плані: конекторів із директорії можна підключати скільки завгодно, а от кастомний remote MCP-сервер — лише один. Ліміти тарифів теж змінюються, тож перед вибором плану їх варто звірити з офіційним прайсингом.

Безпека та приватність: зберігання даних і відкликання доступу

Куди потрапляють дані. Те, що Claude витягнув через конектор, зберігається на серверах Anthropic разом із прив’язаним діалогом — видаліть чат, і ці дані видаляться разом із ним. При цьому сам сервіс-джерело (Google, Microsoft тощо) обробляє дані на своїй інфраструктурі й за своїми правилами, можливо поза межами США. Для Microsoft 365 це означає, що щойно контент залишає Graph і потрапляє на сервери Anthropic, він виходить за периметр комплаєнс-контролів Microsoft — це варто враховувати корпоративним користувачам.

Навчання моделей. За замовчуванням дані з конекторів не використовуються для тренування моделей. Виняток — споживчі плани (Free/Pro/Max), де з жовтня 2025 діє opt-in: якщо ви самі дозволили використовувати свої чати для навчання, то скопійований із Gmail, Drive чи Calendar у діалог контент може потрапити в тренування. Плани Team і Enterprise з цього виключені.

Як правильно відкликати доступ. Вимкнути конектор кнопкою в Claude — це лише половина справи: OAuth-грант може залишитися жити на боці сервісу. Повне відкликання:

  1. У Claude: налаштування → Connectors → вимкнути конектор.
  2. На боці Google: myaccount.google.com/permissions → знайти Anthropic → видалити доступ.
  3. На боці Microsoft: адміністратор прибирає згоду в Microsoft Entra Admin Center.
  4. Для чутливих даних додатково видаліть самі діалоги, де ці дані спливали (вони зберігаються в Anthropic разом із чатом).

Окреме налаштування для організацій — «Restrict verified-domain connectors to your enterprise»: воно не дає підключити робочий Gmail чи Slack (на верифікованому домені компанії) до особистого акаунту Claude поза організацією. Воно не скасовує вже наявні підключення і не забороняє зворотний напрямок.

Ризики: два реальні інциденти і що з них випливає

Абстрактне «будьте обережні» марне. Розберемо два задокументовані, незалежно підтверджені пресою випадки — і одразу назвемо, які механізми захисту їм протистоять.

Ексфільтрація файлів через Cowork (17 січня 2026). Через пару днів після запуску Cowork дослідники PromptArmor показали атаку: прихована інструкція (білий текст розміром 1pt у файлі-«скіллі» формату .docx) змушувала Claude виконати curl-команду і завантажити найбільший доступний файл користувача в акаунт атакувального — через легітимний, внесений у whitelist домен api.anthropic.com. Спрацювало навіть на найсильнішій моделі, Claude Opus 4.5, і без підтвердження людиною.

Zero-click RCE через звʼязку конекторів (11 лютого 2026). Команда LayerX продемонструвала інше: звичайне запрошення в Google Calendar зі шкідливою інструкцією плюс фраза користувача «розберись із цим» змушували Claude Desktop без жодного підтвердження завантажити, скомпілювати і запустити довільний код — через MCP-конектор із доступом до термінала (Desktop Commander). Це повноцінне віддалене виконання коду з оцінкою CVSS 10 з 10. Anthropic вирішила це не виправляти, назвавши сценарій «поза поточною моделлю загроз».

Обидва кейси об’єднує одна рамка — «lethal trifecta» Саймона Віллісона: щойно в агента одночасно є доступ до приватних даних, обробка недовіреного контенту і канал назовні, ін’єкція стає майже неминучою структурно, а не як випадковий баг. Другий кейс додає важливий урок: небезпечна саме композиція конекторів — нешкідливий Calendar плюс потужний термінальний сервер разом дають те, чого не дає жоден із них окремо.

Є і системний ефект «піраміди довіри» (формулювання pluto.security): схвалюючи конектор чи плагін, ви транзитивно схвалюєте всі вкладені компоненти — MCP-сервери, скіли, хуки. Один клік «Дозволити» означає більше, ніж здається. Той самий трекер ClaudeSec із 380+ відстежуваних конекторів позначив 143 як високоризикові (наприклад, сервери з shell-доступом без пісочниці) — це незалежна оцінка, не підтверджена і не оскаржена Anthropic.

Для повноти картини назвемо і те, що працює на захист:

  • Tool permissions (Always allow / Needs approval / Blocked) — за замовчуванням write-інструменти в корпоративних конекторів заблоковані.
  • Делегований per-user OAuth — Claude діє з вашими правами, без спільних сервісних акаунтів із підвищеними привілеями.
  • Сертифікації — конектор Microsoft 365 покритий SOC 2 і ISO 27001.
  • Відкликання доступу в один клік на боці Claude плюс відкликання гранту на боці сервісу.
  • Human-in-the-loop там, де ціна помилки висока (Gmail не надсилає листи сам).

Практичний висновок: ставтеся до прав за принципом найменших привілеїв. Підключайте лише потрібні сервіси, тримайте окрему папку/диск під ШІ, для чутливих даних віддавайте перевагу read-only, і періодично перевіряйте на боці сервісу, кому ви що видали.

Просунуті прийоми: режими доступу до інструментів

Коли конекторів стає багато, кожен із них «займає місце» в контексті моделі й може сповільнювати та плутати відповіді. Керується це режимами завантаження інструментів:

  • Auto (за замовчуванням) — Claude сам вирішує, які конектори підвантажити під завдання.
  • Always available — усі інструменти одразу; підходить, коли конекторів менше 10 і ви користуєтеся ними постійно.
  • On demand — інструменти підвантажуються за запитом; рекомендується від 10 конекторів і більше, щоб не забивати контекст.

Ще один нюанс для просунутих — «поверхнева асиметрія»: один і той самий MCP-сервер безпечний у пісочниці Claude API (немає вихідної мережі) і потенційно небезпечний у Claude Code, де в нього повні локальні права. Оцінювати ризик треба за поверхнею запуску, а не за назвою конектора: «безпечний» сервер на одній поверхні не гарантує безпеку на іншій.

FAQ

Чи може Claude надсилати листи або видаляти файли без мого відома?

Ні. Gmail-конектор створює лише чернетки — надсилання завжди ручне. У корпоративних конекторів write-інструменти (правка, видалення) за замовчуванням заблоковані, доки адміністратор їх явно не увімкне, а сам конектор не може вийти за межі прав, які є у вас у сервісі.

Як повністю відкликати доступ, який я видав конектору?

Вимкнення кнопкою в Claude недостатньо — OAuth-грант лишається на боці сервісу. Треба ще видалити доступ Anthropic там: у Google — на myaccount.google.com/permissions, у Microsoft — через Entra Admin Center. Для чутливих даних додатково видаліть діалоги, в яких ці дані спливали.

Мої дані з Gmail і Drive використовуються для навчання моделей?

За замовчуванням — ні. Виняток лише для споживчих планів (Free/Pro/Max), де з жовтня 2025 є opt-in на навчання за чатами: якщо ви його увімкнули, скопійований із конектора в діалог контент може потрапити в тренування. Плани Team і Enterprise з цього виключені.

Чим конектор із директорії відрізняється від кастомного й локального MCP-сервера?

Конектор із директорії — хмарний сервер, перевірений Anthropic, працює всюди однаково. Кастомний — ваш власний remote-сервер за URL, Anthropic його не перевіряла. Локальний (desktop extension) запускається на вашій машині з повними локальними правами і доступний лише в Claude Desktop і Claude Code. Модель довіри в них різна — від найсуворішої до найризикованішої саме в цьому порядку.

Чи безпечно підключати робочий Google Drive до Claude?

Із застереженнями. Конектор успадковує ваші права і працює лише на читання, але виданий токен покриває весь диск, а не «вибрані файли», і звузити це в Claude не можна. Безпечніше тримати під ШІ окрему папку чи спільний диск із тим, що не шкода показати, ніж відкривати основний робочий Drive повністю.

Курс «Claude Code з нуля до продакшену» · модуль «Інтерфейси екосистеми». Повна програма і два маршрути навчання — на сторінці курсу.

Попередній урок: Claude Code скрізь: CLI, Desktop, Mobile

Поділитися
Зв'язатися:
Крипто- та data-аналітик, інженер-програміст (факультет комп'ютерних наук ХНУРЕ). В IT з 2008 року: адміністрував корпоративний моніторинг у «Vodafone Україна», сім років розробляв і просував веб-проєкти, п'ять років керував маркетингом на метриках — конверсія, CTR, ROI, LTV.Криптовалютними ринками займаюся з 2021 року: ончейн-метрики, токеноміка, макроекономічні індикатори. Розробив власну data-driven модель аналізу ринку на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математична статистика та EDA; збір і звірку даних автоматизую AI-агентами.Принцип — «Don't trust, verify»: кожна цифра перевірена за першоджерелом, ключові — щонайменше за двома незалежними; прогнози — лише сценарії з умовами. Теза без даних не публікується.