我觉得,插件 README(项目说明首页)第一页不该像夜市菜单,先拿“自动化、提效、无缝集成”勾你胃口;它该像海关申报台,先把能带什么进门、能翻你哪几个抽屉、能替你给谁打电话写清楚。对 Anthropic 的 claude-plugins-official 这种官方目录尤其如此:第一页该是信任边界,不是功能展台。
反常识恰恰在这儿:越是“官方”,越该先讲不信任。
地摊货人人会捏一捏,穿制服的人反倒容易直接放行。
“官方”两个字最危险的地方,不是它会骗人,而是它替你省掉了怀疑。
Anthropic 在这个仓库首页其实已经把实话说出一半:安装、更新、使用前,先确认你信任这个插件;它不控制插件里带了哪些 MCP(让 AI 调用外部工具的协议)服务、文件或其他软件。这个提醒没错,但还不够。因为“请确认你信任它”还是一句商场广播,真正该顶在第一屏的,是一张边界图:它能读什么,能改什么,能发什么,能连到哪里,更新后会不会长新牙,停用时会不会留尾巴。
插件不是下载一个功能,是把一串陌生手指请进你的键盘。
凌晨十一点四十,小周还在公司最后一盏灯下,想省掉明早的代码说明会。他装了个帮忙整理 GitHub 合并请求(PR)的插件。第一页写得花团锦簇:自动摘要、关联 issue、生成日报。没写在最上面的,是它会遍历本地仓库、读取提交历史、汇总 issue,再把内容送去外部服务处理。第二天他发现,客户还没公开的项目代号,已经跟着“高效摘要”一起出门了。事情并不戏剧,它只是把“介绍功能”放在了“交代边界”前面,于是一个普通人的下班时刻,成了权限扩张最顺滑的通道。
权限如果写在角落里,事故就会写进正文。
周五晚上九点十七,运维老贺在地铁上补热修复,装了个“一键部署”插件。首页是成功截图、环境矩阵、五分钟上手;没把“会直接执行 shell(命令行命令)、默认拥有当前目录写权限、可能改动 CI(持续集成流水线)配置”钉在第一屏。结果它不是“帮你部署”,而是在你最疲惫的时候,替你把测试环境当门帘掀开了。插件不是坏,文案才是坏。它把刀鞘画成了餐具盒。
README 先讲魔法,不讲门锁,就是拿效率给侥幸抹口红。
下午四点零二,实习生小林装了个 Telegram(聊天软件)桥接插件,想在手机上继续盯 Claude。第一页说的是“随时随地继续工作”,没把“需要长期保存机器人令牌、接受外部消息触发、可能在本机代你执行动作”写成粗体。他以为自己买了个遥控器,实际上是给办公室后门装了个门铃。今天它替你回消息,明天它也可能替你按回车。人在远程里最容易误会的,不是距离,而是代理权。
工具一旦长了手,说明书就不能只剩嘴。
这也是我为什么觉得,claude-plugins-official 这种“官方目录”更该克制炫技。仓库把插件分成内部和外部两层货架,看上去像超市分自营和联营;可用户真正在意的,不是货架归谁,而是瓶盖拧开以后,里面流出来的是牛奶还是汽油。所谓高质量,不该先体现在例子多漂亮、命令多顺手,而该体现在它有没有把自己的手伸到哪里,老老实实画出来。
所谓信任边界,不是法务的客气话,是权力的户口本。
第一页至少该先写清五件事:它读什么,它写什么,它替你行动什么,它往外连什么,它更新后会不会扩权。写清这些,不是削弱产品,不是给用户添堵,恰恰是在尊重用户。因为插件和主题皮肤不同,皮肤只改脸色,插件会碰骨头;尤其到了 Claude 这类工具链里,插件接触的不是一张网页,而是仓库、终端、凭证、本地文件、外部账户。过去装个浏览器扩展,丢的是几页浏览记录;现在装个 AI 插件,丢的可能是你公司的工作流、你的客户上下文、你机器上的行动能力。
官方二字不该替插件化妆,应该替用户拉警戒线。
一个成熟的插件生态,不是把能力铺满首页,而是先把权力关进栅栏。功能决定你跑得多快,边界决定你会不会跑着跑着,把家门钥匙塞进陌生人口袋。文明从来不是先发明更锋利的刀,再补一句“小心使用”;文明是先把刀鞘做出来,再把刀交给人。插件 README 第一页,也该如此。