La expansión explosiva del ecosistema de plugins de Claude Code
Al entrar en 2026, la especificación oficial de plugins de Claude Code soportada por Anthropic evolucionó a la versión v1.2. El número de plugins públicos en el Plugin Marketplace ya supera los 420 en abril de ese año, y comienzan a aparecer maintainers que generan ingresos de varios miles de dólares mensuales como actividad secundaria. En particular, se afianzó la cultura de "compartir tus flujos de trabajo con otros", alcanzando un nivel de madurez similar al del ecosistema de GitHub Actions.
Los plugins se pueden clasificar en cuatro tipos principales: comandos slash (interacciones como /loop o /review), servidores MCP (integración con herramientas externas), hooks (disparadores de automatización) y archivos de definición de subagentes. Combinándolos, se puede empaquetar de forma declarativa todo el flujo de trabajo de desarrollo.
Tres plugins destacados
get-shit-done es el plugin de flujo de trabajo más comentado. Tiene un mecanismo para que Claude gestione listas de TODO y detecte automáticamente las "tareas pendientes" mediante el Stop hook. El Stop hook registrado en .claude/settings.json inspecciona las tareas incompletas antes de cerrar la sesión y, si es necesario continuar, vuelve a inyectar un prompt.
simplify es un plugin de revisión que inspecciona la complejidad del código modificado y detecta automáticamente la complejidad ciclomática, lógica duplicada e importaciones sin uso. Se ejecuta justo después de Edit/Write mediante el PostToolUse hook y, cuando supera un umbral, hace una propuesta automática de refactorización. Tiene un gran impacto en proyectos de refactorización a gran escala.
ultrareview es un plugin de tipo subagente que automatiza la revisión de código por pull request. Recibe el output de `gh pr diff` y genera un reporte de revisión en tres ejes: seguridad, rendimiento y mantenibilidad. Internamente lanza múltiples subagentes en paralelo con un diseño que integra las perspectivas de cada uno.
Cómo crear un plugin propio
Básicamente, un plugin se crea solo ubicando en el directorio `.claude/plugins/<nombre>/` los archivos `manifest.json`, `commands/*.md`, `hooks.json` y `mcp.json`. En `manifest.json` se declaran el nombre del plugin, la versión y el punto de entrada; basta con poner archivos Markdown en el directorio `commands` para que los comandos slash queden registrados.
Si se incluye un servidor MCP, se escribe el comando de arranque stdio en `mcp.json`. Para Node.js la ruta recomendada es vía `npx`, y para Python vía `uvx`. Lo importante es "evitar las dependencias de rutas absolutas en el comando de inicio". Al publicar en el Plugin Marketplace, el plugin debe funcionar en entornos muy variados, por lo que solo se permiten nombres de comando que puedan resolverse vía PATH.
Los hooks se registran en `hooks.json` para cada disparador: PreToolUse, PostToolUse, UserPromptSubmit, Stop y SessionStart. El formato es declarativo: se especifica un matcher (expresión regular del nombre de la herramienta) y un command (shell a ejecutar), de forma similar a la sintaxis de workflows de GitHub Actions.
Seguridad en plugins con ejecución de shell
La capacidad de los plugins para ejecutar cualquier comando de shell es el mayor factor de riesgo del ecosistema. De hecho, en febrero de 2026 se produjo un incidente en el que un servidor MCP malicioso hacía POST del archivo `.ssh/id_rsa` a un servidor externo, y Anthropic añadió el modo de sandbox forzado en la versión v1.2.
Hay tres medidas defensivas importantes. La primera es la restricción de ejecución mediante una lista blanca de `allowed_commands`: se declara el conjunto de comandos permitidos en el prePlugin y se bloquean las llamadas shell que no estén en esa lista. La segunda es restringir las comunicaciones externas con el flag `network_access`: se activa solo mediante opt-in cuando sea necesario. La tercera es requerir la firma del manifiesto del plugin (compatible con Sigstore) para que la identidad del autor y la integridad del plugin sean verificables.
En KGA, antes de publicar un plugin internamente se ejecuta un análisis estático que busca `exec/spawn/curl/wget`, y si aparecen patrones peligrosos el gate de CI falla. También se usa un linter que emite advertencias al acceder a variables de entorno, cubriendo la "filtración de información confidencial a través de variables de entorno" que los desarrolladores individuales suelen pasar por alto.
Mejores prácticas para el diseño de plugins
Lo más importante es no intentar incluir demasiadas funciones en un solo plugin. Combinar plugins pequeños con responsabilidades claras, como get-shit-done, es más fácil de entender y de mantener para el usuario. En el campo `description` del `manifest.json`, hay que describir el caso de uso de forma concreta, con suficiente granularidad como para que la primera línea transmita qué se automatiza.
Además, el procesamiento de los hooks debe diseñarse siempre de forma idempotente. Si el PostToolUse hook se ejecuta de forma duplicada, debe ser seguro de todas formas; el procesamiento con estado debe usar un archivo de bloqueo en `.claude/state/` para el control de exclusión mutua. Especialmente en operaciones con múltiples instancias, si los hooks se ejecutan simultáneamente es fácil que aparezcan comportamientos destructivos.
Por último, no hay que olvidar los tests del plugin de forma individual. Con `claude --plugin-test <path>` se puede hacer una ejecución en dry-run, así que hay que incorporarlo al CI para verificar antes del merge a la rama main. La madurez de la cultura de plugins requiere mecanismos con los que la propia comunidad garantice la calidad de forma autónoma.