你的 Claude Code 裝了幾個插件?幾十個插件,真的需要那麼多嗎?
老實說,插件裝越多,Claude 不一定越強。
我自己就踩過這個坑。之前用了幾個月的 Supabase MCP,後來才發現 Supabase 有原生 CLI,效果完全碾壓 MCP。測完 10 個工具後的結論:能力越多不代表表現越好,有一個甜蜜點(increased capability ≠ increased performance)。
今天分享我的核心原則、10 個推薦工具、以及很多人忽略的安全防護建議。
核心原則:能用 CLI 就不要裝 MCP
為什麼?Context Window 是公共資源。每多啟用一個 MCP Server,Claude 就要多讀一堆工具描述,留給真正工作的空間被壓縮。
CLI 是終端機原生的東西,Claude 本來就會用,不佔額外 context。MCP 是多出來的抽象層,每多一個就多吃一份空間。
什麼都裝 MCP:Context 被壓縮,Claude 變慢,回答品質下降
優先用 CLI:原生高效,不佔額外空間,Claude 保持最佳狀態
我自己用了幾個月 Supabase MCP 才發現原生 CLI 一直都在,而且速度更快、穩定性更高。這個經驗很有代表性:很多工具都有 CLI 版本,只是大家習慣先去 Marketplace 找 MCP。
10 個推薦工具
開發與部署
1Supabase CLI — 資料庫 + 用戶驗證,終端機直接操作,不用開 Dashboard。這是我用過差距最大的一組:CLI 版本比 MCP 快很多。
2Vercel CLI — 一行指令部署到線上,不用手動進 Vercel 後台。配合 Claude Code 可以做到改完程式碼直接部署。
3GitHub CLI — 在終端機管 repo、PR、Issue,不用切到瀏覽器。Claude 可以直接幫你開 PR、合併分支。
4Playwright CLI — 瀏覽器自動化 + UI 測試。讓 Claude 幫你跑測試、截圖、驗證功能,省掉手動測試的時間。
5Firecrawl CLI — AI 專用爬蟲,scrape、crawl、search 一條指令搞定。做研究或抓資料特別好用。
研究與生產力
6Skill Creator — Anthropic 官方工具,把你的常用流程做成可重用的 Skill。做一次,以後 Claude 自動按你的 SOP 執行。
7GSD Framework — spec 驅動的專案管理框架。解決 Claude 做到一半忘記目標的問題,先寫 spec 再讓它執行。
8NotebookLM-PI — 在終端機裡直接用 NotebookLM 做研究,還能生成簡報、Podcast、閃卡。不用開瀏覽器切來切去。
9Obsidian — 接上你的 Obsidian 筆記庫,Claude 變成你的個人知識助理。問它問題,它直接從你的筆記裡找答案。
10Excalidraw Diagram Skill — 用自然語言畫架構圖和流程圖。說「畫一個用戶登入流程圖」,它就直接生成。
Supabase CLI + Skill Creator + GSD + GitHub CLI,這 4 個就覆蓋 80% 的開發需求。
安全提醒:工具越強,權限越大
這一段很多人會跳過,但其實最重要。
GitHub CLI 可以直接 push 程式碼到 production,Vercel CLI 可以一鍵部署到線上,Playwright 可以操作你的瀏覽器。你等於把鑰匙交給 AI,如果沒有做好權限控管,風險很大。
- 日常測試用唯讀(Read-only)API Key,到最後部署階段才授權寫入。這樣就算 Claude 判斷失誤,也不會改到你的線上環境。
- 用 Docker 容器或沙盒環境跑 Claude Code,把 AI 的操作範圍限制在隔離環境裡,不碰你的本機檔案系統。
- Playwright 自動化要設網域白名單。你讓它測你的網站沒問題,但別讓它亂跑到外部網站,避免觸發不必要的操作或洩露資料。
- 今年初已經有 CVE-2026-21852(API Key 外洩漏洞,CVSS 5.3),PromptArmor 也揭露了 Marketplace 插件注入攻擊。插件安全不是理論問題,是已經發生的事。
直接用最高權限的 API Key 開發測試
日常用唯讀 Key,部署時才切換到寫入權限
結論:從「裝最多」升級為「選最對」
Marketplace 有什麼就裝什麼,越多越好
先查有沒有 CLI,選精準的工具組合,做好權限控管
選工具跟選團隊一樣,精準比數量重要。工具越強,規範越重要。