文章总结： 文档解析ClaudeCode三大扩展机制：MCP协议实现外部工具连接，Plugins管理能力分发，Skills封装领域知识。重点推荐Superpowers插件（14个技能）及安全实战类工具，提供手动与市场两种安装方式，强调技能组合可提升效率并节省token开销。 综合评分： 89 文章分类： 安全工具,技术标准,安全培训,安全开发,解决方案

你的Claude Code只用了30%的能力——缺的就是Skills、插件和MCP

原创

Ming_Yang Ming_Yang

SecureCoder

2026年6月11日 18:20 山东

在小说阅读器读本章

去阅读

前言

上一篇文章分享了如何从零搭建 Claude Code + DeepSeek v4 Pro 百万上下文编程环境。环境搭好之后，那接下来该做什么了呢？

答案是：Skills 和插件。装对插件，AI 从”聊天机器人”进化成真正嵌入工作流的编程搭档——不仅能省下大把时间，还能帮你省下真金白银的 token 开销。这篇文章快速过一遍我高频使用的 Skills，重点讲怎么装。

一、Skills、插件、MCP：三个扩展维度

Claude Code 从”会聊天”到”会做事”，靠的是三种能力扩展机制：Skills、Plugins、MCP。但很多朋友刚接触时最容易混淆——它们都在讲”能力扩展”，却分属不同层级。如果不做结构化理解，很容易把协议、工具和能力封装混为一谈。

下面用一个清晰的框架，讲透四件事：

MCP 是什么？插件是什么？Skills 是什么？它们如何协同构成 Claude Code 的能力体系？

先建立层级概念

把 Claude Code 想象成一部新手机，三种扩展对应不同层级——

| 概念 | 技术定义 | 通俗类比 | 所属层级 | | — | — | — | — | | MCP | Model Context Protocol，Anthropic 定义的标准化协议，基于 JSON-RPC 实现 LLM 与外部工具/数据源的通信 | 手机的摄像头、GPS、蓝牙——硬件接口层 | 基础设施层 | | Plugins | 通过 Plugin API 打包的 Skills 集合体，支持版本管理、依赖声明、一键安装与自动更新 | 应用商店的”必备合集包”——分发通道层 | 应用层 | | Skills | 遵循特定规范的 Markdown 指令文件（SKILL.md），注入 System Prompt 引导 LLM 按预定流程执行领域任务 | 每个 App 里的操作逻辑——能力执行层 | 能力层 |

三层结构：MCP 决定”能接什么”，Plugins 决定”能装什么”，Skills 决定”能做什么”。

MCP：AI 的”手”——解决”能不能连接”的问题

在 MCP 出现之前：

• • 模型 ≠ 能操作剪贴板
• • 模型 ≠ 能搜索本地文件
• • 模型 ≠ 能控制浏览器

模型有”理解能力”，但没有”执行通道”。

MCP 采用 Client-Server 架构，Host（Claude Code）通过 stdio 或 HTTP 与 MCP Server 建立双向 JSON-RPC 通道。Server 暴露 tools、resources、prompts 三类能力，Host 将其注册到模型的 Function Calling 工具列表中，模型自主决定调用时机。

一句话：MCP 是 AI 的”手”，让它能触达现实世界。

| 特性 | 说明 | | — | — | | 本质 | 协议（Protocol），不是工具，也不是技能 | | 解决问题 | 模型如何安全、规范、可扩展地连接外部系统 | | 架构层级 | 基础设施层 | | 是否包含流程知识 | 否——只管”能连”，不管”怎么用” | | 加载方式 | 启动时加载全部工具定义（Token 消耗较高） | | 典型实例 | 剪贴板读写、Everything 文件搜索、OCR 图片识别 |

Plugins：能力的分发管道——解决”怎么管理”的问题

如果说 MCP 解决”能不能连”，插件解决的是另一个层面的问题：一堆能力怎么统一管理？

一个一个手动下载 Skills 没问题，但 10 个、20 个呢？作者更新了你怎么知道？想卸载怎么清干净？插件就是解决这些”管理成本”问题的。

技术上讲，Plugin 本质是一个包含 plugin.json 清单 + 多个 Skills + 可选 Commands 的目录包，通过 Registry 中心化分发，支持语义化版本管理与增量更新。

一句话：插件是 App Store，不是 App 本身。

| 特性 | 说明 | | — | — | | 本质 | 扩展模块的包管理与分发体系 | | 解决问题 | Skills 的批量安装、版本管理、自动更新 | | 架构层级 | 应用层 | | 是否包含流程知识 | 通常不包含——插件管安装，Skills 管执行 | | 加载方式 | /plugin install 一键拉取，启动时加载内含的 Skills | | 典型实例 | superpowers@claude-plugins-official （内含14个Skills） |

Skills：AI 的”操作手册”——解决”知不知道怎么做”的问题

MCP 给了 AI 手，插件给了 AI 一个应用商店。但还有一个关键问题没解决：AI 知道怎么正确使用这些能力吗？

能连数据库 ≠ 会写安全高效的 SQL。拥有工具 ≠ 正确使用工具。

Skills 解决的就是这个问题。一个 Skill 本质上是一个 SKILL.md 文件，采用 Markdown + YAML Frontmatter 格式，里面写明了任务流程（SOP）、领域经验、执行步骤和注意事项。放到 .claude/skills/ 目录后，Claude Code 在会话初始化时将其注入 System Prompt，当用户意图命中 Skill 的 description 字段时，模型自动切换为该领域的专家行为模式。

Skills 的一个重要设计理念是渐进式披露——启动时只加载元数据，任务匹配时才加载完整指令，显著降低上下文占用。这意味着同样一次任务，用 Skill 比每次手把手教 AI 省下 60% 以上的 token，长期积累下来是真金白银的开销差距。

一句话：Skills 是操作手册 / 技能书，教模型”什么时候调工具、按什么顺序、如何避免错误”。

| 特性 | 说明 | | — | — | | 本质 | 程序性知识封装机制（Prompt Engineering 指令集） | | 解决问题 | 教模型”怎么完成特定任务” | | 架构层级 | 能力层 | | 是否包含流程知识 | 是——这是 Skills 的核心价值 | | 加载方式 | 渐进式披露：启动时只加载元数据，按需加载完整指令 | | 典型实例 | ctf-web （Web 漏洞利用 SOP）、pdf（PDF 处理 SOP） |

三者对比总表

| 对比维度 | MCP | Plugins | Skills | | — | — | — | — | | 本质 | 协议（Protocol） | 包管理体系 | 知识封装（Prompt Engineering） | | 解决问题 | 能不能连接外部世界 | 能不能批量管理能力 | 知不知道怎么完成任务 | | 架构层级 | 基础设施层 | 应用层 | 能力层 | | 是否包含流程知识 | 否 | 通常不包含 | 是（核心价值） | | 是否可按需加载 | 否（启动时全量加载） | 视实现而定 | 是（渐进式披露） | | 安装方式 | 编辑 mcp.json | /plugin install | 放入 .claude/skills/ | | 更新方式 | 手动更新 Server | 自动检测 + 增量更新 | 手动 git pull | | 典型实例 | 剪贴板、文件搜索 | Superpowers（14个Skills） | ctf-web 、pdf |

三层协同：一次完整的执行流程

用一次实际的渗透测试任务来串联三者的协作关系：

Skill 决定”怎么做”，Plugin 提供”工具箱”，MCP 负责”动手干”。 三者各司其职，互不冲突，在同一环境中叠加使用。

本文聚焦 Skills 与插件，MCP 将在下篇文章单独展开。

二、我的 Skills 清单速览

Superpowers 插件（必装）

涵盖开发全流程的 14 个 Skills：brainstorming → writing-plans → executing-plans → verification-before-completion 形成闭环，外加 systematic-debugging、TDD、code-review、parallel-agents、git-worktrees 等。

仓库地址：https://github.com/obra/superpowers

安全实战类

• • CTF 系列（10个）：solve-challenge（总调度）+ ctf-web/pwn/reverse/crypto/forensics/malware/osint/ai-ml/misc 九大专项
• • vibe-pentest：多 Agent 并行黑盒渗透测试引擎

仓库地址：https://gitee.com/ok-helloworld/vibe-pentest

效率工具类

• • anysearch-skill-main：实时搜索引擎，支持并行批量搜索和 URL 提取

仓库地址：https://github.com/anysearch-ai/anysearch-skill

• • claude-hud：终端实时状态监控面板，展示 token 消耗、工具调用、Agent 进度 仓库地址：https://github.com/jarrodwatts/claude-hud
• • find-skills：随时发现新 Skills
• • docx / pdf / xlsx：文档处理三件套

三、如何安装

方法一：插件市场安装（推荐）

Superpowers 在官方插件市场，直接安装：

/plugin install superpowers@claude-plugins-official

claude-hud 在独立市场，需要先添加市场再安装：

# Step 1：添加 claude-hud 的插件市场
/plugin marketplace add jarrodwatts/claude-hud

# Step 2：安装插件
/plugin install claude-hud

# Step 3：重载插件
/reload-plugins

# Step 4：配置 HUD 状态栏（安装后必须执行）
/claude-hud:setup

Windows 用户注意：如果 /claude-hud:setup 提示找不到 JavaScript 运行时，先执行 winget install OpenJS.NodeJS.LTS，重启终端后再执行 setup。

安装后重启 Claude Code 即生效，后续自动更新。

方法二：手动安装 Skills

Step 1：有仓库地址的推荐 git clone，方便后续 git pull 更新：

# 如果 skills 目录还不存在，先创建
mkdir -p %USERPROFILE%\.claude\skills
cd %USERPROFILE%\.claude\skills

# AI 渗透测试引擎（Gitee）
git clone https://gitee.com/ok-helloworld/vibe-pentest.git

# 实时搜索引擎
git clone https://github.com/anysearch-ai/anysearch-skill.git anysearch-skill-main

# 查看已安装的 Skills
dir

没有公开仓库的 Skills（CTF 系列、find-skills、文档三件套），下载安装包后直接解压到 .claude\skills\ 目录即可。

Step 2：确保每个 Skill 文件夹内有 SKILL.md 文件，重启 Claude Code 自动加载。

四、总结

1. 1. Superpowers 插件（必装）：14 个 Skills 覆盖完整开发流程
2. 2. 安全实战类（按需）：CTF 系列 + vibe-pentest
3. 3. 效率工具类（按需）：anysearch + claude-hud + 文档三件套

花 10 分钟装好这些 Skills，换来每天省 2 小时，还能省下大把 token。动手试试。

请在微信客户端打开

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecureCoder MingYang MingYang《你的Claude Code只用了30%的能力——缺的就是Skills、插件和MCP》