Claude Code 外掛怎麼裝？從零安裝、plugin 市集到防雷，我每天用它的設定心法（2026）

💡 核心結論速覽 (TL;DR)

• 裝 Claude Code 最快的方式：Mac/Linux 用 curl -fsSL https://claude.ai/install.sh | bash、Windows 用 irm https://claude.ai/install.ps1 | iex（原生安裝會自動更新，最省心）。裝完打 claude 登入、跑 /init 建專案記憶就能開工。
• plugin（外掛）是「打包」：一個外掛可以一次帶進 skills、指令、子代理、hooks、甚至 MCP server。用 /plugin 開管理介面、/plugin marketplace add 加市集、/plugin install 名稱@市集 安裝。
• 團隊共用靠專案層級：裝到 .claude/settings.json（--scope project）並提交 git，同事 clone 下來就有同一套外掛。
• 🚨 安全最重要：第三方外掛會帶 hooks/MCP，等於能跑指令、連外部——官方市集也沒有「verified」徽章。只裝信任來源、先用個人 scope 試、配 /permissions deny 清單，比裝幾個炫外掛重要得多。

老實說，Claude Code 的外掛（plugin）生態這半年爆炸式長出來，市集一個接一個。但我看大多數教學都停在「複製這行指令貼上」，沒人告訴你：這些外掛到底差在哪、該不該裝、會不會有安全風險。我每天用 Claude Code 跑這個部落格的自動化，外掛踩過的雷比裝過的還多。

所以這篇我想從「實際要用的人」的角度，把整條路走一遍：從零安裝、第一次設定，到外掛怎麼挑、團隊怎麼共用、第三方外掛怎麼防雷。不是把官方文件翻譯一遍，而是告訴你哪些值得做、哪些先別碰。

如果你剛要上手 Claude Code、或裝了外掛卻心裡發毛不知道安不安全，這篇就是寫給你的。我們先從把它裝起來開始。

從零安裝 Claude Code：三種方式與第一次設定

先把工具裝起來。Claude Code 有三種安裝方式，我會推薦原生安裝，因為它會自動更新，你不用記得手動升級。

裝完之後，第一次上手的順序我整理成四步，照著做就不會卡：

❶ 打 claude 登入。第一次會自動開瀏覽器，用 claude.ai 帳號（Pro/Max 訂閱）OAuth 登入最簡單；也可以用 API key 或雲端供應商。

❷ 信任專案目錄。進到你的專案資料夾打 claude，它會問「要不要信任這個目錄並載入設定」，按 y。這步是讓它讀你專案的 .claude/ 設定。

❸ 跑 /init 建專案記憶。它會掃過專案、生成一份 CLAUDE.md，把架構、慣例寫進去，之後每次開新對話都會自動讀。我習慣再手動補「這專案的雷區、不要動哪些檔」。

❹ 設好權限。按 Shift+Tab 切換權限模式，或在 ~/.claude/settings.json 設預設。這步先有印象就好，安全那段會細講。

安裝完最常見的下一個問題是「要跑在本機還是雲端」。兩者的成本和隔離差很多，我在Claude Code 雲端 vs 本機怎麼選裡算過帳——最反直覺的是雲端其實不另外收費。

下一步：先用原生安裝把它裝起來、跑一次 /init。基礎打好，再來談外掛。

plugin、skill、MCP 到底差在哪？先搞懂再裝

這是我覺得最該先講清楚的，因為十個人有八個搞混。一句話：skill 是一個技能、MCP 是一個外部工具接口、plugin 是把這些打包成一包好分發。它們不是三選一，而是不同層級。

關鍵差別在「打包與分發」。單獨的 skill 你要手動複製檔案；plugin 則是安裝一次、有命名空間（指令長這樣 /外掛名:指令）、能版本管理、還能透過市集更新。所以如果只是自己用一兩個技能，寫 skill 就好；要一次裝整套、或給團隊／讀者用，才需要 plugin。

想單獨深入這兩塊，我另外整理過Claude Skills 怎麼選和MCP server 不同情境的分工，搭著看會更懂 plugin 打包進來的到底是什麼。

下一步：先問自己「我是要一個技能，還是要一整套？」答案決定你該寫 skill 還是裝 plugin，別一開始就被外掛市集牽著走。

外掛怎麼裝？/plugin 四個分頁與安裝範圍

搞懂概念後，安裝其實很簡單。核心就一個指令 /plugin，它會開一個管理介面，有四個分頁：

• Installed——看你裝了哪些、各自帶了什麼技能、裝在哪個範圍。
• Discover——瀏覽可裝的外掛，會顯示它會佔多少上下文（Context Cost）、最後更新時間。
• Marketplaces——管理你加了哪些市集。
• Errors——外掛載入失敗時來這看原因。

實際安裝就三步：

❶ 加市集：/plugin marketplace add anthropics/claude-plugins-official（官方市集其實預設就有）。來源可以是 GitHub 帳號/倉庫、完整 Git URL、本地路徑，或指向 marketplace.json 的網址。

❷ 裝外掛：/plugin install 外掛名@市集名。例如 /plugin install github@claude-plugins-official。

❸ 確認：/plugin list 看裝了哪些；不要的用 /plugin uninstall 外掛名@市集名 移掉（它會把外掛帶的 hooks、MCP 一起乾淨移除）。

安裝時要選「範圍（scope）」，這點很重要，決定誰看得到這個外掛：

我的習慣是：新外掛先裝 Local 或 User 試用，確定好用、安全，才升級到 Project 範圍給整個專案用。一上來就裝到團隊共用的範圍，等於拿同事一起冒險。

下一步：開 /plugin 逛一下 Discover 分頁，挑一個你真的有需求的裝到個人範圍試試，先別貪多。

團隊共用：把外掛設定隨 git 帶著走

如果你是團隊在用，plugin 最香的地方就是「設定即程式碼」。把市集和啟用的外掛寫進專案的 .claude/settings.json 並提交 git，同事 clone 下來、信任目錄後，就自動有同一套外掛，不用一個個口頭教。

設定檔大概長這樣，把要用的市集和外掛列清楚：

這招對內容團隊、工程團隊都好用：新人 onboarding 不用再傳一包設定檔，git pull 下來就是統一環境。但也提醒一句——既然是團隊共用，裡面每個外掛的安全責任就放大了，這就接到下一段。

下一步：團隊用的話，把市集與外掛寫進 .claude/settings.json 提交一次，之後維護一個地方就好。

🚨 外掛安全：第三方 plugin 不是裝了就沒事

這段是我最想叮嚀的。外掛很方便，但你要清楚一件事：一個 plugin 可以帶 hooks 和 MCP server，等於它能在你電腦上執行指令、連外部 API、讀寫你的檔案。裝一個來路不明的外掛，跟在電腦上跑一段陌生程式碼，風險是一樣的。

更要注意的是：就算是官方市集，也沒有「verified（已驗證）」徽章。官方市集是 Anthropic 策選、社群市集有基本審核，但都不等於幫你掛保證；第三方來源更是完全沒有認證。所以「它在市集裡」不代表「它安全」。

我自己的五個自保習慣，從簡單到嚴格：

• 只裝信任來源——官方或公司內部市集優先，陌生第三方先存疑。
• 先用個人 scope 試——新外掛裝 Local/User 跑幾天，別一上來就推到團隊。
• 看一眼來源碼——市集是 GitHub repo，點進去看它的 hooks 和 MCP 在做什麼。
• 設 /permissions deny 清單＋白名單——把危險指令、不能碰的路徑擋掉。Claude Code 本來就會保護 .git/、.env 等路徑，你再補強。
• 定期 /plugin list 盤點——把沒在用的外掛停用或移除，減少暴露面。

AI 代理失控刪檔、亂跑指令的災難真的發生過，外掛只是又多開了一個入口。我把那些真實案例和完整的權限沙箱、deny 清單、容器隔離做法寫在AI 代理刪檔的五道防線，裝外掛前強烈建議先看。

下一步：今天就花十分鐘設好 /permissions 的 deny 清單；這比你裝幾個外掛都更該先做。

進階：想分享，怎麼自建一個 marketplace

如果你做了好用的 skill 或工作流，想分享給團隊或讀者，自建市集其實不難。原理是：建一個 git repo，放一份 marketplace.json 列出你的外掛，push 上去，別人就能 /plugin marketplace add 你的帳號/repo 來裝。

最小的 marketplace.json 只要三樣：市集名稱、維護者、外掛清單。每個外掛指明名稱、來源路徑、說明就行；進階還能加版本、分類、相依關係。檔案放在 repo 的 .claude-plugin/ 目錄下。

這對想經營 AI 工作流、做開發者社群的人是很好的分發管道——比叫人「把這幾個檔複製到某個資料夾」專業太多。不過這偏進階，多數人先當「用戶」就夠，等你真的累積出值得分享的一套再來自建不遲。

下一步：先把自己的工作流用 skill 跑順、累積出固定愛用的幾個，要分享時再打包成 plugin、自建市集。

新手該先裝什麼？哪些先別碰

講了這麼多，如果你剛上手，不用急著塞滿外掛。我的建議是這樣排優先順序，把力氣花在 CP 值最高的地方。

✅ 先做這 3 件：① 原生安裝＋/init 建好 CLAUDE.md；② 設好 /permissions deny 清單；③ 從官方市集裝 1 個你真的有需求的外掛試水溫。

🕒 上手後再加：團隊共用的 Project scope 設定、依需求加第二、三個外掛、研究 MCP 連你的工具。

⏸️ 先別碰：一次裝一堆陌生第三方外掛、自建 marketplace、把沒試過的外掛直接推到團隊。這些不是不好，是「還沒到那步」，硬上只會增加風險和雜訊。

適合誰、不適合誰：如果你每天用 Claude Code 寫程式、跑重複任務、或帶團隊，外掛能幫你把整套工作流標準化、省下重複設定。但如果你只是偶爾用 AI 問問題，老實說連外掛都不用碰，把基本指令用熟更實際——我把那些每天真正省時的指令與快捷鍵整理在Claude Code 隱藏功能與快捷鍵那篇，比急著裝外掛更值得先看。

外掛裝多了也要留意成本，帶 MCP 的外掛會增加上下文與 token 消耗。怕被帳單嚇到的話，AI 代理省 token 心法那篇可以一起參考。要是裝完遇到怪問題，Codex／Claude Code 常見問題大全多半找得到解。

下一步：今天只要把「先做這 3 件」做完就好，外掛慢慢加，需求到了再裝。

FAQ 常見問題

Claude Code 的 plugin、skill、MCP 我到底該用哪個？

看你的需求層級。只想教 AI 反覆做某件事，寫一個 skill 就好；要讓 AI 連你的外部工具或資料（GitHub、資料庫、行事曆），用 MCP server；想一次裝好一整套（含 skills、指令、hooks、MCP）或分享給別人，才用 plugin 打包。三者不是互斥，plugin 其實就是把 skill 和 MCP 等打包在一起的容器。

外掛要裝在 user、project 還是 local 範圍？

個人跨專案常用的裝 user（~/.claude/settings.json）；要整個團隊共用、隨 git 帶走的裝 project（.claude/settings.json 並提交）；只想自己在這個專案試、不想進 git 的裝 local（.claude/settings.local.json）。我的習慣是新外掛先 local/user 試用，確認好用安全才升級到 project。

裝第三方外掛安全嗎？官方市集有保證嗎？

要當心。外掛能帶 hooks 和 MCP，等於能執行指令、連外部、讀寫檔案，風險跟跑陌生程式碼一樣。而且就算是官方市集也沒有「verified」徽章，社群市集只有基本審核。自保做法：只裝信任來源、先用個人 scope 試、點進 GitHub 看來源碼、設好 /permissions deny 清單與白名單、定期盤點移除不用的外掛。

怎麼移除外掛？會不會留下殘留？

用 /plugin uninstall 外掛名@市集名 就會乾淨移除，連它帶的 hooks、MCP server 設定也會一起拿掉，這是收掉一個不想要的外掛最乾淨的方式。也可以先 /plugin disable 停用（保留檔案）觀察一下，確定不要了再 uninstall。

結論：先把底打穩，外掛是加分不是必需

Claude Code 的外掛生態會越來越熱鬧，但我用下來最大的心得是：別被市集的數量綁架。真正讓你省時間的順序，永遠是先把安裝、CLAUDE.md、權限這三塊底打穩，外掛才是錦上添花。

如果你今天只帶走一件事，我會說：裝好之後先去設 /permissions 的 deny 清單，再決定要不要碰外掛。安全這條底線顧好，你之後裝什麼都比較放心。外掛是用來服務你的工作流的，不是拿來收集的。

想把整套 Claude Code 用得更順，可以接著看我整理的每天真正省時的指令與快捷鍵，和Opus 4.8 升級重點與 Fast Mode。如果這種「幫你篩掉雜訊、只留真正有用的」風格對你有幫助，歡迎追蹤夜羽凌的部落格，我會不定期把每天踩出來的 AI 實戰心得整理給你。

參考資料

• Claude Code 官方文件｜安裝設定（Setup）
• Claude Code 官方文件｜建立 Plugin
• Claude Code 官方文件｜建立與發佈 Plugin Marketplace
• Anthropic 官方 Plugin 目錄（GitHub）