外掛與 Marketplace
基於 Cursor 官方 Plugins 和 Extensions 文件解釋外掛、擴充套件、團隊 marketplace、required 外掛和安全邊界。
Cursor 裡有兩類容易混淆的擴充套件能力:Extensions 和 Plugins。Extensions 來自 Open VSX extension registry,主要增強編輯器語言、主題、工具鏈;Plugins 則可以打包 Rules、Skills、Agents、Commands、MCP servers 和 Hooks,是更接近 Agent 工作流的能力包。
閱讀目標:讀完本章,你應該能區分 extension 和 plugin,並知道團隊上線為什麼要審 marketplace、required 外掛和 MCP / hooks 風險。
1. Extensions:編輯器擴充套件
官方 Extensions Help 說明,Cursor 使用 Open VSX extension registry。很多 VS Code 擴充套件可用,但不是所有擴充套件都會列出或行為完全一致。
安裝方式:
| 系統 | 快捷鍵 |
|---|---|
| macOS | Cmd + Shift + X |
| Windows / Linux | Ctrl + Shift + X |
然後搜尋擴充套件並點選 Install。擴充套件會立即啟用。
需要注意:
- 可以全域性停用,也可以只對當前 workspace 停用。
- 如果擴充套件導致效能問題或和 Cursor AI features 衝突,先停用驗證。
- Verified publisher 需要額外安全 review 和身份確認。
2. Plugins:Agent 能力包
官方 Plugins 文件說明,plugin 可以打包任意組合:
| Component | 官方說明 | 中文一句話 |
|---|---|---|
| Rules | persistent AI guidance and coding standards | 長期 AI 行為約束(如團隊程式碼風格、目錄邊界) |
| Skills | specialized agent capabilities for complex tasks | 多步可複用流程(如發版檢查 / 文件 QA) |
| Agents | custom agent configurations and prompts | 預設 agent 角色 + 提示片語合 |
| Commands | agent-executable command files | 可被 agent 呼叫的命令指令碼 |
| MCP Servers | Model Context Protocol integrations | 接外部系統的協議端點(如資料庫 / GitHub / Slack) |
| Hooks | automation scripts triggered by events | 在固定事件(編輯前 / shell 前)自動跑的攔截指令碼 |
這意味著 plugin 風險比普通主題或語法擴充套件更高。它可能改變 agent 行為、引入 MCP、觸發 hooks 或自動化命令。
flowchart TD
Add["準備安裝能力"] --> Type{"型別"}
Type -->|Extension| OpenVSX["Open VSX extension"]
Type -->|Plugin| Bundle["Rules / Skills / Agents / Commands / MCP / Hooks"]
OpenVSX --> CheckExt["相容性和效能檢查"]
Bundle --> CheckPlugin["供應鏈、許可權、MCP、Hooks 審查"]
CheckPlugin --> Team{"團隊分發"}
Team -->|required| Auto["自動安裝給分組成員"]
Team -->|optional| User["開發者自行選擇安裝"]3. Marketplace 與安全審查
官方 Plugins 文件說明,Cursor Marketplace 用於發現和安裝 official plugins。Plugins 作為 Git repositories 分發,並透過 Cursor 團隊提交;每個 marketplace plugin 在 listing 前都會 manually reviewed,每次 update 釋出前也會重新 review。
官方還說明:
- 官方外掛在
cursor.com/marketplace。 - 社群 plugins 和 MCP servers 可看
cursor.directory。 - Plugins 可以 project scope 或 user level 安裝。
“已被 marketplace review”不等於團隊可以無條件安裝。企業仍要按自己的資料、網路、MCP、hooks 和供應鏈政策審。
4. Team marketplace
官方文件說明,Team marketplaces 適用於 Teams 和 Enterprise。
| 計劃 | Team marketplace |
|---|---|
| Teams | 最多 1 個 team marketplace |
| Enterprise | unlimited team marketplaces |
匯入 team marketplace 的官方流程:
- 開啟 Dashboard -> Settings -> Plugins。
- 在 Team Marketplaces 點選 Import。
- 貼上 GitHub repository URL。
- Review parsed plugins。
- 可設定 Team Access groups。
- 設定 marketplace name 和 description。
- Save。
5. Required 與 Optional 外掛
官方文件說明,把 plugin 分配給 distribution group 時,可以設為 Required 或 Optional。
| 型別 | 行為 |
|---|---|
| Required | 儲存後自動安裝給該 distribution group 的所有人 |
| Optional | 對該 group 可見,開發者自行選擇是否安裝 |
如果組織使用 SCIM(System for Cross-domain Identity Management,跨域身份同步標準),distribution groups 可以由 SCIM-synced directory groups 控制。
Required plugin 要格外謹慎,因為它是“組織級自動進入開發者環境”的能力。
深讀:為什麼 Plugin 比 Extension 更需要審
Extension 通常增強編輯器能力,例如語言服務、主題、格式化或 Git 工具。Plugin 可以把 rules、skills、agents、commands、MCP servers 和 hooks 放進同一個包。這些元件會直接影響 agent 如何理解專案、呼叫工具、執行指令碼和接外部系統。
所以團隊可以對普通 extensions 做相容性審查,但對 plugins 必須做能力審查:它包含哪些 MCP server,hooks 什麼時候觸發,commands 會不會有副作用,rules 是否會改變團隊編碼規範。
6. 建立和本地測試 plugin
官方最小 plugin 結構:
my-plugin/
├── .cursor-plugin/
│ └── plugin.json
├── rules/
│ └── coding-standards.mdc
├── skills/
│ └── code-reviewer/
│ └── SKILL.md
└── mcp.jsonplugin.json 只要求 name 欄位;其他 components 可以按預設目錄自動發現,也可在 manifest 裡指定自定義路徑。
本地測試路徑:
~/.cursor/plugins/local/my-plugin可用 symlink 加速迭代:
ln -s /path/to/my-plugin ~/.cursor/plugins/local/my-plugin本章自檢
完成本章後,用這 3 個問題檢查自己是否真正理解:
- Extension 和 Plugin 在能力和風險上有什麼區別?
- Required plugin 對團隊環境意味著什麼?
- 安裝包含 MCP servers 或 hooks 的 plugin 前應該審什麼?
透過標準:你能為團隊制定外掛安裝策略:普通擴充套件、官方 plugin、社群 plugin、required plugin 分別按不同等級審查。
官方來源
- Cursor Plugins —— 官方說明 plugin 元件、marketplace、team marketplace、required / optional、local testing 和 manifest。
- Cursor Plugins Help —— Help Center 對 plugin 的簡明說明和安全 review 說明。
- Cursor Extensions Help —— 官方說明 Open VSX、安裝、停用、extension verification 和衝突排查。
- Cursor Marketplace Security —— 官方 marketplace security 入口。