Plugins
基於 Cursor 官方 Plugins 文件解釋外掛元件、Marketplace、團隊分發、安裝管理、本地測試和釋出審查。
Plugins 把 rules、skills、agents、commands、MCP servers 和 hooks 打包成可分發 bundle。官方文件說明:官方 plugins 在 Cursor Marketplace 瀏覽,社群 plugins 和 MCP servers 可以看 cursor.directory,也可以自己構建。
閱讀目標:讀完本章,你應該能判斷什麼時候要做 plugin,如何區分 project/user 安裝,怎樣做團隊 marketplace,以及本地測試和安全審查要看什麼。
1. Plugin 可以包含什麼
官方列出的元件:
| Component | 用途 |
|---|---|
| Rules | persistent AI guidance and coding standards,.mdc files |
| Skills | 複雜任務的 specialized agent capabilities |
| Agents | custom agent configurations and prompts |
| Commands | agent-executable command files |
| MCP Servers | Model Context Protocol integrations |
| Hooks | event-triggered automation scripts |
flowchart TD
Plugin["Plugin bundle"] --> Rules["Rules"]
Plugin --> Skills["Skills"]
Plugin --> Agents["Agents"]
Plugin --> Commands["Commands"]
Plugin --> MCP["MCP servers"]
Plugin --> Hooks["Hooks"]
Plugin --> Marketplace["Marketplace / team distribution"]Plugin 的價值是“分發一組能力”,不是給單個專案堆功能。如果只是當前 repo 的一條規則,Project Rule 就夠;如果一組能力要跨團隊複用,再考慮 plugin。
2. Marketplace 和安全審查
官方資料說明:
- Plugins 以 Git repositories 分發。
- 官方 Marketplace plugins 由 Cursor team 接收提交。
- 每個 plugin 上架前都會 manual review。
- 每次更新也會重新 review。
- 官方 Marketplace 在
cursor.com/marketplace。 - 社群 plugins 和 MCP servers 可看
cursor.directory。
這不等於你可以不審。Plugin 可能包含 MCP、hooks、commands,這些都會改變 Agent 能力邊界。
3. Team marketplaces
Team marketplaces 適用於 Teams 和 Enterprise plans。
| Plan | Team marketplaces |
|---|---|
| Teams | 最多 1 個 team marketplace |
| Enterprise | unlimited team marketplaces |
Enterprise plan 中,只有 admins 可以從 Dashboard -> Settings -> Plugins 新增 team marketplaces。
匯入流程:
- 進入 Dashboard -> Settings -> Plugins。
- 在 Team Marketplaces 點選 Import。
- 貼上 GitHub repository URL。
- Review parsed plugins,可選設定 Team Access groups。
- 設定 marketplace name 和 description,然後儲存。
4. Required 和 Optional
把 plugin 分配到 distribution group 時,可以設為 required 或 optional。
| 模式 | 行為 |
|---|---|
| Required | 儲存後自動安裝給 distribution group 裡的所有人 |
| Optional | 對 group 可見,開發者自行選擇安裝 |
Distribution groups 可以由 SCIM-synced directory groups 控制。如果組織使用 SCIM(System for Cross-domain Identity Management,跨域身份同步標準),group membership 在 identity provider 中管理,Cursor 同步更新。
5. 安裝和管理
Plugins 可以 project scoped 或 user level 安裝。
管理入口:
| 內容 | 管理方式 |
|---|---|
| MCP servers | Cursor Settings -> Features -> Model Context Protocol,逐個 toggle |
| Rules | Cursor Settings 的 Rules section,可設 Always、Agent Decides、Manual |
| Skills | 出現在 Agent Decides section,也可在 chat 用 /skill-name 手動呼叫 |
| MCP install links | 使用 cursor://anysphere.cursor-deeplink/mcp/install?... deeplink |
如果 MCP server 被關閉,它不會 load,也不會出現在 chat 中。
6. 建立 Plugin
Plugin 是一個帶 .cursor-plugin/plugin.json manifest 的目錄。官方示例:
my-plugin/
├── .cursor-plugin/
│ └── plugin.json
├── rules/
│ └── coding-standards.mdc
├── skills/
│ └── code-reviewer/
│ └── SKILL.md
└── mcp.jsonManifest 只要求 name 欄位。元件會從預設目錄自動發現,也可以在 manifest 裡指定 custom paths。
{
"name": "my-plugin",
"description": "Custom development tools",
"version": "1.0.0",
"author": { "name": "Your Name" }
}7. 本地測試和釋出
釋出前,把 plugin 放到本地目錄測試:
- 建立
~/.cursor/plugins/local/my-plugin。 - 複製 plugin files,確認
.cursor-plugin/plugin.json在 plugin root。 - Restart Cursor,或執行 Developer: Reload Window。
- 驗證 rules、skills、MCP servers 等 components 已 load。
為了更快迭代,可以 symlink:
ln -s /path/to/my-plugin ~/.cursor/plugins/local/my-plugin準備好後,提交到 cursor.com/marketplace/publish。多 plugin repo 需要在 .cursor-plugin/marketplace.json 新增 marketplace manifest。
深讀:為什麼 Plugin 審查要看 hooks 和 MCP
Rules 和 Skills 主要改變 Agent 的上下文和工作流;MCP servers、commands、hooks 會引入外部工具、指令碼和事件自動化。
所以 plugin 審查不能只看 README。要檢查它是否會發網路請求、讀取敏感檔案、攔截命令、自動改檔案、連線第三方服務,以及是否有關閉和回復方式。
8. 驗收清單
上線或安裝 plugin 前檢查:
- 是否真的需要 plugin,而不是 project rule / skill。
.cursor-plugin/plugin.json是否在 root。- 包含哪些 rules、skills、agents、commands、MCP servers、hooks。
- MCP 和 hooks 是否有許可權說明。
- 是否 open source,可審查。
- 是否經過 Marketplace 或團隊審查。
- Required plugin 的影響人群是否明確。
- Optional plugin 是否有安裝和解除安裝說明。
- 本地
~/.cursor/plugins/local已測試。 - 更新後是否重新 review。
本章自檢
完成本章後,用這 3 個問題檢查自己是否真正理解:
- Plugin 和單個 Project Rule / Skill 的邊界是什麼?
- Required plugin 和 Optional plugin 對團隊有什麼不同影響?
- 為什麼包含 MCP servers 或 hooks 的 plugin 需要額外安全審查?
透過標準:你能判斷一個團隊能力包是否應該做成 plugin,並能列出安裝、測試、審查和分發路徑。
官方來源
- Cursor Plugins —— 官方說明 plugin 元件、Marketplace、team marketplace、安裝、管理、建立和本地測試。
- Cursor Help: Plugins —— Help Center 說明外掛組成、安裝、審查和入口。
- Marketplace Security —— 官方說明 Marketplace 審查和安全報告。
- Plugins Reference —— 官方 manifest schema、元件格式和提交清單。