使用技巧(五):插件装了 50 个还是裸奔?Claude Code 三大市场只装一个就够了,这款 165K Star
Claude Code 插件装了 50 个还是裸奔?三个市场只装一个就够了
Windows/macOS/Linux · Claude Code 2.x · 2026-05-09
一、你装了一堆插件,Claude 还是不按规矩干活?
有没有经历过这些:
- 装了 10 个 Skill,Claude 还是跳过测试直接写代码
- 听说 Superpowers 很强,但不知道它和 ECC 是不是冲突
- 插件市场有三四个,每个都说自己最全——你不想一个一个试
- 更担心的:这些社区插件安全吗?会不会偷我的 API Key?
这篇解决的就是"Claude Code 插件市场选哪个"。只讲三个主流市场,不列清单让你自己挑花眼。
速览:三个市场一句话
| 市场 | 一句话 | 安装命令 | 适合谁 | 推荐度 |
|---|---|---|---|---|
| Superpowers | 强制 7 阶段开发方法论,让 Claude 守规矩 | /plugin install superpowers@claude-plugins-official | 想标准化开发流程的人 | ⭐⭐⭐⭐⭐ |
| Night Market | 23 个独立插件组成的功能工具箱 | /plugin marketplace add athola/claude-night-market | 按需挑选、渐进装配的人 | ⭐⭐⭐⭐ |
| ECC | 50K+ star 的全能配置库,中文社区最友好 | /plugin install everything-claude-code@everything-claude-code | 想要开箱即用全家桶的人 | ⭐⭐⭐⭐⭐ |
只想装一个?大多数人用Superpowers(官方出品,方法论级)就够了。如果你还需要 Git 自动化、代码审查、文档生成,再叠加 Night Market 的单个插件。国内用户优先看 ECC。
二、Superpowers — 不是插件,是方法论
一句话:obra/superpowers(165K+ GitHub stars,v5.1.0)不是给你加功能的——它强制 Claude 在写代码之前先思考、先规划、先写测试。Anthropic 官方市场收录。
安装
/plugininstallsuperpowers@claude-plugins-official退出并重启 Claude Code。不需要任何配置——下次你说"帮我做一个功能",Claude 的行为就变了。
它做了什么
Superpowers 的核心是“1% 规则”:只要有一丁点可能适用,就必须触发对应的 Skill。不是建议,是强制。
七个阶段,逐级递进:
| 阶段 | Skill | 做什么 | 触发时机 |
|---|---|---|---|
| 1. 头脑风暴 | brainstorming | Socratic 式提问澄清需求,输出设计文档 | 你描述需求时 |
| 2. 工作区隔离 | using-git-worktrees | 自动创建 git worktree,不影响主分支 | 设计确认后 |
| 3. 计划编写 | writing-plans | 拆成 2-5 分钟的微任务,每个有精确文件路径 | worktree 就绪后 |
| 4. 子代理执行 | subagent-driven-development | 每个任务独立子代理,两阶段审查 | 计划确认后 |
| 5. 强制 TDD | test-driven-development | 红-绿-重构循环,先写测试看它失败再写代码 | 执行过程中 |
| 6. 代码审查 | requesting-code-review | 对照计划审查,严重问题阻塞进度 | 任务之间 |
| 7. 分支收尾 | finishing-a-development-branch | 验证测试、清理 worktree、准备 PR | 所有任务完成后 |
不是每次都走完七步。改个 typo 只跑计划环节就跳过了。新功能开发才会走完整流程。
实战效果对比
没用 Superpowers 之前:
你:帮我做一个用户登录功能 Claude:好的!(开始写代码,10 分钟后) —— 写了 800 行,没有测试 —— 用了 JWT 但你项目用的是 Session —— 路由命名和现有代码不一致 你:……(花一小时修修补补)用了 Superpowers 之后:
你:帮我做一个用户登录功能 Claude:(触发 brainstorming) 先问:Session 还是 JWT?有没有现有认证中间件? 再问:支持哪些登录方式?错误处理策略? → 输出设计文档,等你确认 Claude:(你确认后,触发 writing-plans) 拆成 8 个 2-5 分钟微任务,列好文件路径 → 等你说"开始" Claude:(触发 subagent-driven-development + TDD) 任务 1:写测试 → 测试失败 → 写代码 → 测试通过 → 提交 任务 2:写测试 → 测试失败 → 写代码 → 测试通过 → 提交 ...(可以自主跑 1-2 小时) Claude:(触发 finishing-a-development-branch) 全部测试通过,worktree 已清理,PR 已准备适合你如果
- 你希望 Claude 遵守工程纪律,而不是"先写代码再说"
- 你在做中大型功能开发,不是单文件小改
- 你认同 TDD 的价值但自己没有严格执行
不适合你如果
- 你只是改个配置、修个 typo(Superpowers 会自动识别并跳过大部分阶段)
- 你需要极度自由的"vibe coding"体验
- 你的项目没有测试框架(TDD 阶段会卡住)
三、Night Market — 23 个独立插件,像逛工具箱
一句话:athola/claude-night-market(248 stars,v1.8.2)不是一套方法论,而是 23 个独立插件组成的功能工具箱——你需要哪个装哪个,互不依赖。
安装
# 先注册市场/plugin marketplaceaddathola/claude-night-market# 按需安装(不需要全装)/plugininstallsanctum@claude-night-market# Git 工作流/plugininstallpensive@claude-night-market# 代码审查/plugininstallspec-kit@claude-night-market# 规格驱动开发也可以一次全装:npx skills add athola/claude-night-market。
四层架构
Night Market 把插件分成四层,每层职责清晰:
┌─────────────────────────────────────────┐ │ Domain 层(业务插件) │ │ pensive · attune · spec-kit · tome │ │ cartograph · archetypes · memory-palace │ ├─────────────────────────────────────────┤ │ Utility 层(工具插件) │ │ conserve · conjure · egregore · hookify │ ├─────────────────────────────────────────┤ │ Foundation 层(基础插件) │ │ sanctum · leyline · imbue │ ├─────────────────────────────────────────┤ │ Meta 层(元插件) │ │ abstract │ └─────────────────────────────────────────┘最值得装的 5 个
| 插件 | 一句话 | 杀手命令 |
|---|---|---|
| sanctum | Git 工作流全自动 | /pr(一键 PR 准备,含 scope 检查) |
| pensive | 多维度代码审查 | /full-review(API + 架构 + Bug + 安全) |
| spec-kit | 规格驱动开发 | /speckit-specify→/speckit-plan→ 实现 |
| conserve | 上下文瘦身 + 膨胀检测 | /bloat-scan(找出浪费 token 的地方) |
| attune | 项目初始化脚手架 | /attune:init(一键搭好项目结构) |
Night Market vs Superpowers 的关系
这两个市场互补而非竞争。Night Market 官方文档明确说"与 superpowers marketplace 集成"。Superpowers 提供方法论(TDD、调试、执行分析),Night Market 提供具体工具(Git、审查、文档、可视化)。
实际搭配:Superpowers 管"怎么做",Night Market 管"做什么"。
适合你如果
- 喜欢按需挑选,“装一个用一个”
- Git 工作流和代码审查是你的高频场景
- 不想被方法论约束,只想增强具体环节
不适合你如果
- 想要一键装好的全家桶
- 不需要 Git 自动化(你已经有自己的工作流)
四、ECC — 50K+ star 的全能配置库,中文社区首选
一句话:affaan-m/everything-claude-code(50K+ stars,Anthropic 黑客松冠军作品)覆盖 48 个 Agent、182 个 Skill、12 种语言生态——是三个市场中体量最大、覆盖面最广的。
安装
# 添加市场/plugin marketplaceaddaffaan-m/everything-claude-code# 安装插件/plugininstalleverything-claude-code@everything-claude-code安装后运行configure-eccSkill,交互式选择你需要的模块。
核心数字
| 组件 | 数量 | 说明 |
|---|---|---|
| Agent | 48 个 | 按语言/框架/场景专业化(Python Reviewer、Go Builder 等) |
| Skill | 182 个 | 覆盖 TDD、安全审查、文档更新、市场调研等 |
| 命令 | 60+ 个 | 开发、测试、审查、规划全流程 |
| 语言生态 | 12 种 | TypeScript、Python、Go、Java、Kotlin、Rust、C++、Swift、PHP、Perl 等 |
| 跨平台 | 5 个 | Claude Code、Cursor、Codex、OpenCode、Antigravity |
ECC 的独特优势
1. 按需安装,不爆上下文
ECC 不是一股脑全加载。安装时通过configure-ecc交互式选择:
- 核心(推荐新手):TDD + 验证 + 安全审查 + 前端设计
- 框架与语言:Django、Spring Boot、Go、Python 等
- 工作流与质量:TDD、持续学习、策略性压缩
- 研究与 API:深度研究、Exa 搜索
三层加载机制:Skills 按描述自动触发,Agent 按需调用,只在相关时才进入上下文窗口。
2. 中文友好
ECC 有完整的中文翻译版本(xu-xiang/everything-claude-code-zh),所有 Agent、Skill、命令都有中文说明。对于英文不太熟练的开发者,这是其他两个市场目前不具备的。
3. 安全内置
ECC 自带security-scanSkill(集成 AgentShield,1282 项测试、102 条规则),装完就能扫。不像其他市场需要额外装安全审计工具。
4. 跨工具支持
同一套 ECC 配置可以在 Claude Code、Cursor、Codex CLI、OpenCode 之间复用——切换工具不需要重新配置。
适合你如果
- 想要覆盖最多场景的全家桶
- 中文是你的首选语言
- 你同时使用多个 AI 编程工具
- 你需要内置安全扫描
不适合你如果
- 你只想要轻量方案(ECC 体量最大)
- 你不需要多语言/多框架支持
五、三维对比 + 选型指南
多维度对比
| 维度 | Superpowers | Night Market | ECC |
|---|---|---|---|
| 定位 | 方法论强制 | 功能工具箱 | 全能配置库 |
| GitHub Stars | 165K+ | 248 | 50K+ |
| 官方收录 | ✅ Anthropic 官方市场 | ❌ 社区市场 | ❌ 社区市场 |
| 组件规模 | 20+ Skill + 3 命令 | 23 插件 / 167 Skill / 51 Agent | 48 Agent / 182 Skill / 60+ 命令 |
| 安装方式 | 一行命令 | 先注册市场再按需装 | 先注册市场再装插件 |
| 零配置 | ✅ 装完即用 | ⚠️ 需挑选插件 | ⚠️ 建议运行配置向导 |
| 中文支持 | ❌ | ❌ | ✅ 完整中文翻译 |
| 跨工具 | Claude Code、Cursor、Codex、Gemini CLI 等 | 专为 Claude Code | Claude Code、Cursor、Codex、OpenCode |
| 学习曲线 | 中等(方法论需要适应) | 中高(需了解 23 个插件) | 低(配置向导引导) |
| 安全审计 | 依赖官方审查 | 需自审社区插件 | 内置 AgentShield |
| 更新频率 | 极快(Jesse 本人高频维护) | 稳定(v1.8.2,月级) | 稳定(v1.9.0,月级) |
选型决策树
你想让 Claude 遵守开发纪律(先规划再写代码)? ├── 是 → Superpowers │ └── 还需要 Git 自动化/代码审查/文档? │ ├── 是 → Superpowers + Night Market(sanctum + pensive) │ └── 否 → 只用 Superpowers │ └── 否 → 你最需要什么? ├── 中文 + 全家桶 → ECC ├── 按需挑选具体工具 → Night Market └── 不知道选什么 → Superpowers(最安全的默认选择)可以叠加吗?
可以,而且推荐叠。这三个不是互斥的:
- Superpowers + Night Market:Superpowers 管开发流程,Night Market 的
sanctum、pensive管 Git 和审查 - Superpowers + ECC:Superpowers 管方法论,ECC 补充多语言审查和中文支持
- Night Market + ECC:Night Market 的 Git 自动化 + ECC 的 Skill 全家桶
叠加时注意上下文预算。每多装一个市场,就多一些 Skill 描述进入上下文。建议先装一个核心市场,熟悉后再叠加。
六、安全课:ClawHavoc 事件的教训
装插件之前,必须知道一件事:插件可以执行任意代码。
发生了什么
2026 年 1 月,社区市场 ClawHub 爆发了 ClawHavoc 事件:
- 341 个恶意 Skill 在 3 周内发布
- 通过名称仿冒(typosquatting)伪装成热门工具
- 载荷窃取 API Key、邮箱凭证、系统信息
- 超过 9,000 个 OpenClaw 安装被攻陷
Snyk 随后审计了 3,984 个 ClawHub Skill,发现:
- 13.4%(534 个)有严重安全问题
- 76 个确认包含恶意载荷
- 10.9%暴露了硬编码密钥
三个市场安全对比
| 维度 | Superpowers | Night Market | ECC |
|---|---|---|---|
| 来源 | Anthropic 官方市场 + Prime Radiant 团队 | 社区维护(2 位贡献者) | 社区维护(30+ 贡献者) |
| 审查机制 | 官方审核流程 | 无,靠社区监督 | 无,但开源可审计 |
| 供应链风险 | 低(官方收录) | 中(需自查) | 中(需自查) |
| 内置安全工具 | ❌ | ❌ | ✅ AgentShield |
安装前六步自查
装任何社区插件前,花 2 分钟做这六步:
# 1. 看 Stars 和 Contributors# 165K + 多人维护 → 可信。2 star + 1 人 → 小心。# 2. 看是不是官方市场收录# claude-plugins-official → 有 Anthropic 审核# 3. 看 Skills 的 allowed-toolscat~/.claude/plugins/cache/*/skills/*/SKILL.md|grep"allowed-tools"# 如果看到 "Bash" + 模糊描述 → 警惕# 4. 看 hooks 脚本有没有外发网络请求cat~/.claude/plugins/cache/*/hooks/*.sh|grep-E"curl|wget|base64"# 正常插件不需要 curl/wget 外发数据# 5. 装 cc-plugin-audit(自动检测恶意模式)/plugin marketplaceaddSTRML/cc-plugin-audit /plugininstallcc-plugin-audit@STRML# 每次 SessionStart 自动扫描变更,发现恶意模式会告警# 6. 装 skills-security-audit Skill(语义级审查)/plugin marketplaceaddhttps://github.com/agentnode-dev/skills-security-audit.git /plugininstallskills-security-audit@agentnode-dev底线原则:官方市场
claude-plugins-official(Superpowers、Hookify 等)有 Anthropic 审核,优先用。社区市场(Night Market、ECC)开源可审,Star 数高 + 贡献者多 + 更新频繁的比个人小仓库可信得多。
七、推荐起步三件套
按使用场景,给你三个"复制粘贴就完事"的起步方案:
方案一:最小启动(60 秒装好)
/plugininstallsuperpowers@claude-plugins-official退出重启。搞定。下次让 Claude 做功能时观察行为变化。
方案二:标准装备(3 分钟装好)
# 方法论/plugininstallsuperpowers@claude-plugins-official# Git 自动化/plugin marketplaceaddathola/claude-night-market /plugininstallsanctum@claude-night-market# 安全审计/plugin marketplaceaddSTRML/cc-plugin-audit /plugininstallcc-plugin-audit@STRML方案三:全家桶(5 分钟装好)
# 方法论 + 全家桶 + 安全/plugininstallsuperpowers@claude-plugins-official /plugin marketplaceaddaffaan-m/everything-claude-code /plugininstalleverything-claude-code@everything-claude-code /plugin marketplaceaddSTRML/cc-plugin-audit /plugininstallcc-plugin-audit@STRML安装后运行configure-ecc,选"核心"就够了。
八、收尾
一句话:装 Superpowers——不装功能,装纪律。再加一个你需要的具体工具(Night Market 或 ECC 二选一)。
插件安装不是囤积——是给你的 Claude Code 装一套"工作习惯"。三个市场三个方向:方法论、工具箱、全家桶。选一个先装上,用两周,再考虑叠加。
本文推荐安装速查
# 最小方案/plugininstallsuperpowers@claude-plugins-official# Git 自动化补充/plugin marketplaceaddathola/claude-night-market /plugininstallsanctum@claude-night-market# 安全审计补充/plugin marketplaceaddSTRML/cc-plugin-audit /plugininstallcc-plugin-audit@STRML本系列相关文章
- 上一篇:使用技巧(四):Hooks 五大实战配方 —— 从格式化到安全门禁 — 五个现成 Hook 插件装好就生效
- 下一篇:使用技巧(六):Superpowers 深度配置 —— 7 阶段开发工作流完整走通 — 即将发布
扩展阅读
- 主系列 新手上路(三):必装的 Claude Code Skills 横向对比与协同工作流指南 — Skills 原理与选择策略
- 主系列 新手上路(六):Claude Code + ECC 进阶配置 — ECC 深度安装与配置
参考文献
- Superpowers — GitHub — 165K+ star 的 agentic skills framework,官方市场收录
- How I use obra/superpowers — Gautam Khorana 的实战使用指南
- Superpowers Plugin for Claude Code — Richard Porter 的实战评测
- Claude Night Market — GitHub — 23 插件、167 Skill、51 Agent 的工具箱
- Claude Night Market — 官方文档 — 插件目录与能力参考
- Everything Claude Code — GitHub — 50K+ star 的全能配置库
- ECC 中文翻译项目 — GitHub — 完整中文翻译版
- ECC 腾讯云介绍 — ECC 中文社区介绍文章
- Claude Code Plugin Security: ClawHavoc Lessons — ClawHavoc 事件分析与安全教训
- cc-plugin-audit — GitHub — 插件供应链安全审计工具
- Skills Security Audit — GitHub — AI Agent 安全审计 Skill
- Claude Extension Ecosystem Security Guide — Pluto Security 的扩展安全全景