За последние два года появился новый класс инструментов для разработчиков: AI-кодинг-агенты.
Это программы, которые не просто подсказывают следующую строку кода, а самостоятельно читают файлы проекта, пишут и редактируют код, запускают тесты, ходят в документацию и выполняют многошаговые задачи по текстовому описанию. Разработчик формулирует задачу на естественном языке, агент превращает её в рабочий код.
Четыре главных игрока на этом рынке: Claude Code от Anthropic, работающий как терминальное приложение и расширение для IDE; Cursor, отдельный редактор кода со встроенным агентом; Codex CLI от OpenAI, терминальный агент с открытым исходным кодом, плюс экосистема ChatGPT Apps; и Windsurf, IDE-редактор с агентным ядром, созданный Codeium и перешедший к Cognition после разделения компании в 2025 году. Все четверо используют большие языковые модели как движок, но конкурируют не столько моделями, сколько тем, что можно к ним подключить и как расширить их функционал.
Именно об этой конкуренции за расширяемость и пойдёт речь.
Год, когда «AI-помощник» стал платформой
Полтора года назад типичный AI-помощник для кода жил в боковой панели IDE и умел три вещи: дополнять, объяснять, рефакторить. К весне 2026 та же категория продуктов — Claude Code, Cursor, Codex CLI, Windsurf, ChatGPT Apps — выглядит иначе: каждый продукт обзавёлся скиллами, плагинами, маркетплейсами, манифестом распространения и API для расширения собственной среды выполнения сторонними агентами.
На уровне архитектуры все ведущие AI-кодинг-агенты сошлись на одном фундаменте — Model Context Protocol (MCP), открытом стандарте для подключения языковых моделей к внешним инструментам. Поверх этого фундамента у каждого вендора выросла собственная надстройка: вертикальная иерархия примитивов (скиллы, субагенты, хуки), формат пакетирования (плагины) и канал распространения (маркетплейсы). Конвергенция декораций стала ключевым событием зимы–весны 2026.
Параллельно случилось второе событие, масштаб которого стал очевиден только в мае: скачок качества базовых моделей сделал агентов способными на многочасовые автономные сессии. Opus 4.6 и Sonnet 4.6 набрали 80.8% и 79.6% SWE-bench Verified соответственно. Проще говоря, модель решает четыре из пяти реальных GitHub-issues без человеческого вмешательства. Cursor выпустил собственную модель Composer 2.5. Вместе с удвоением лимитов использования у Anthropic и запуском программных SDK у Cursor и OpenAI это сдвинуло экосистему из фазы «набор плагинов» в фазу «программируемый агент как сервис».
Дальше речь пойдет про экосистему по существу: чем общий фундамент отличается от вендорской надстройки, какие конвенции устаканились, где есть спорные моменты, кто платит, кто зарабатывает, и что изменилось за три недели мая, превратившие прогнозы в факты.
MCP как общий фундамент
В конце 2024 года Anthropic опубликовал MCP — открытый стандарт, описывающий типизированный способ для языковой модели обратиться к внешнему инструменту, базе данных или сервису. Сама модель к API не обращается напрямую: между ней и внешним сервисом стоит MCP-сервер, локальный или удалённый процесс, который реализует стандартный протокол через JSON-RPC поверх stdio или Streamable HTTP и предоставляет набор функций-инструментов. Модель видит описание инструментов, выбирает нужный, вызывает, сервер исполняет, возвращает результат. Простая модель: однажды написанный сервер работает с любым клиентом, поддерживающим протокол.
Через полтора года после анонса MCP — самое массово принятое AI-расширение из когда-либо предложенных. На главной странице протокола перечислены поддерживающие клиенты: «Claude, ChatGPT, Visual Studio Code, Cursor, MCPJam» и многие другие — список реально открытый, без привязки к вендору. Официальный репозиторий референсных серверов на GitHub собрал более 84 800 stars и 10 500 forks, что для протокольной спецификации — необычно высокий результат. Параллельно с GitHub-репо работает официальный реестр серверов на registry.modelcontextprotocol.io — централизованная витрина для опубликованных реализаций.
Anthropic формулирует роль MCP метафорой «USB-C для AI-приложений»: один разъём и много устройств. На практике метафора честная только для уровня вызова инструментов. Сервер MCP действительно не зависит от клиента: один и тот же Filesystem-сервер или Sequential-Thinking-сервер обслужит и Claude Code, и Cursor, и Windsurf без изменений. Но как только мы поднимаемся на следующий уровень — скиллы, хуки, пакетирование — каждый вендор строит свою конвенцию, и переносимость заканчивается.
В 2026 году протокол получил расширение Apps: инструмент теперь может вернуть не текст или JSON, а интерактивный виджет — график, диаграмму, доску. На этом механизме работают MCP Apps в чате Cursor 2.6 (графики Amplitude, диаграммы Figma, доски tldraw) и OpenAI Apps SDK (виджетная среда внутри ChatGPT). Зеркальное сходство двух конкурентов не случайно: оба делают надстройку над одним открытым подмножеством протокола.
Опубликованная в марте 2026 дорожная карта MCP фокусируется на корпоративной зрелости: журналы аудита, единая авторизация (SSO), поведение шлюзов, масштабируемость транспортов и жизненный цикл межагентного взаимодействия — пробелы, вскрытые практикой внедрения Tasks-примитива. Нового релиза спецификации в мае не вышло, но направление ясно: протокол дозревает до корпоративного уровня, не меняя ядро.
Архитектурный паттерн: пять примитивов плюс контейнер
Если положить рядом документацию Claude Code, Cursor и Codex CLI, в глаза бросается структурное сходство, граничащее с конвергентной эволюцией. Каждый продукт описывает свою расширяемость через пять-шесть примитивов плюс формат пакетирования.
Базовый слой везде один: Tools, низкоуровневые операции вроде чтения файлов, записи, shell, web. Дальше идёт ярус Skills, инструкций, которые модель подгружает по требованию. У всех трёх вендоров это маркдаун-файл с метаданными и загрузкой описания: модель видит короткую аннотацию, при совпадении подгружает полное тело. У Anthropic для описания скилла зарезервировано 1536 символов на сумму полей description и when_to_use; у Cursor и Codex числа не опубликованы, но логика та же. Причина прозаична: контекстное окно, общий ресурс, и затолкать в системный промпт описания десятков скиллов нельзя без катастрофы для рабочего бюджета.
Поверх скиллов появляются субагенты, изолированные сессии с собственным контекстом, фильтром инструментов и независимой историей. Codex CLI описывает их через секцию [agents] в config.toml. Cursor называет их «subagents» и позиционирует как способ выполнить часть задачи параллельно. Anthropic ушёл дальше всех: у Claude Code уже есть полноценный Task API для запуска субагента в ответвлённом контексте, с возвратом результата в основную сессию. Логика везде одна: «вынеси большой кусок в отдельный мозг, чтобы не съесть основной контекст».
Третий ярус: хуки. Shell-обработчики, которые срабатывают на событиях жизненного цикла агента: PreToolUse, PostToolUse, SessionStart. Нужны, когда требуется гарантия, что некое действие выполнится без участия модели: линтер, валидатор, формальная проверка. Cursor называет их «scripts that observe and control agent behavior»; Anthropic — «external handlers»; Codex CLI поддерживает их в той же роли. Архитектурно это аналог git-хуков, перенесённый в среду выполнения LLM.
Четвёртый ярус, MCP-серверы: внешние процессы, говорящие с моделью по типизированному протоколу.
Cursor добавляет к этому списку пятый примитив: Rules, системные инструкции для удержания стандартов кодирования, преференций и стиля. Остальные вендоры поддерживают похожие функции через скиллы или системный промпт.
Поверх всего лежит плагин, формат пакетирования, склеивающий любую комбинацию из перечисленного в один распространяемый пакет. У Anthropic это директория с манифестом и набором поддиректорий (skills/, agents/, hooks/, mcp-servers/). У Cursor это централизованная страница в маркетплейсе с теми же примитивами внутри. У Codex CLI это каталог .agents/plugins/<name>/ с собственной структурой. И здесь обнаруживается забавное совпадение: имя манифеста. Claude Code и Codex CLI независимо используют файл marketplace.json для описания каталога плагинов. Не общий стандарт, а документированный паттерн, возникший в обеих экосистемах параллельно.
В мае 2026 к этой пятиуровневой модели добавился шестой примитив: программный SDK. Cursor SDK (TypeScript) и Codex CLI API превращают агент из «чёрного ящика», расширяемого через плагины, в библиотеку, которую можно вызвать из пользовательского кода. Качественный переход. В плагинной модели агент управляет процессом, плагин к нему подключается. В SDK-модели наоборот: пользовательский код вызывает агента как библиотеку. Оба паттерна сосуществуют, но SDK открывает сценарии, недоступные плагинам: CI/CD-конвейеры, автоматизация рабочих процессов, встраивание агента в продукт.
Текущее состояние: четыре вендора, одна логика
Что у кого к середине мая 2026.
Claude Code
Anthropic первым превратил CLI в платформу — и продолжает наращивать дистанцию. Маркетплейс плагинов в Claude Code это git-репозиторий с файлом marketplace.json. Пользователь добавляет каталог через команду /plugin marketplace add <url>, обновляет через /plugin marketplace update, устанавливает плагины поштучно. Централизованной витрины от Anthropic нет. Экосистема изначально децентрализована: любой git-репозиторий может стать маркетплейсом, любой репозиторий — содержимым. Параллельно работают сторонние каталоги: agentskills.io, SkillsMP, claudemarketplaces.com.
Иерархия приоритетов четырёхуровневая: enterprise managed settings → user (~/.claude/skills/) → project (.claude/skills/) → plugin. При коллизии имён выигрывает более высокий уровень. Plugin-скиллы получают namespace вида plugin-name:skill-name, чтобы не конфликтовать с пользовательскими.
Что изменилось за весну. В конце марта Claude Code получил Computer Use (исследовательская версия): управление экраном — открывает приложения, кликает, вводит текст, управляет мышью и клавиатурой. Работает как «лестница инструментов»: сначала пробует MCP-подключения, затем прямое управление экраном. Доступно на тарифах Pro и Max в CLI и настольном приложении. В апреле Opus 4.7 стал моделью по умолчанию для Max и Team, появился уровень усилий xhigh.
В мае три крупных сдвига:
- Плагины из .zip и URL, 4 мая. Флаг
--plugin-dirтеперь принимает.zip-архивы,--plugin-urlзагружает плагин по URL на время сессии. Можно комбинировать несколько архивов, каталогов и ссылок в одном запуске. Упрощает распространение плагинов вне git: корпоративный плагин можно раздать через S3-ссылку, а не через доступ к приватному репозиторию. - Удвоение лимитов, 6 мая. Anthropic удвоил пятичасовые лимиты использования для тарифов Pro, Max, Team, Enterprise. Убрано снижение лимитов в пиковые часы. Ограничения частоты запросов к API для Opus-моделей: уровень Tier 1 получил +1500% к входным токенам в минуту и +900% к выходным. Причина: сделка со SpaceX и доступ к кластеру Colossus 1 мощностью 300+ МВт на 220 000+ GPU NVIDIA.
- Быстрый режим переключён на Opus 4.7.
/plugin browseтеперь показывает прогноз потребления контекста.
Дополнительно: claude ultrareview для облачного рецензирования кода флотом агентов в публичной предварительной версии; /goal для многоходовой работы до выполнения условия; claude agents как единый экран всех сессий; настольное приложение для Windows получило четыре обновления за май с MCP-виджетами и системными уведомлениями.
Cursor
Cursor пошёл в другую сторону: централизованный маркетплейс, одна кнопка установки. Хронология запуска:
- 17 февраля 2026, Cursor 2.5: маркетплейс запущен. Стартовый пул: Amplitude, AWS, Figma, Linear, Stripe. Плагины объединяют пять примитивов: скиллы, субагенты, MCP-серверы, хуки, правила.
- 3 марта 2026, Cursor 2.6: MCP Apps с интерактивным интерфейсом прямо в чате и Team Marketplaces, приватные плагин-реестры для командных и корпоративных тарифов с централизованным управлением в настройках.
- 11 марта 2026: к маркетплейсу присоединились более 30 новых плагинов от Atlassian, Datadog, GitLab, Glean, Hugging Face, monday.com, PlanetScale.
- 13 апреля 2026, Cursor 3.1: плиточная раскладка, голосовой ввод.
- 24 апреля 2026, Cursor 3.2: многозадачность, рабочие деревья, поддержка нескольких корневых каталогов. — 29 апреля 2026: Cursor SDK в публичной бете — разработчики получают программный доступ к среде выполнения агента через TypeScript.
- 7 мая 2026, Cursor 3.3: Build in Parallel. Cursor анализирует план, находит независимые части и запускает их параллельно через асинхронные субагенты. Полноценный интерфейс рецензирования PR: вкладка Reviews со встроенными обсуждениями, коммитами, изменениями и файловым деревом. Split Changes into PRs разбивает изменения на логические PR. Pin Skills as Quick Actions закрепляет часто используемые скиллы одной кнопкой. Настройки Explore-субагентов: выбор модели, наследование от родителя, полное отключение.
- 13 мая 2026, Cursor 3.4: полноэкранные вкладки для файлов, изменений, холстов и терминалов, компактный чат с режимами плотности.
- 18 мая 2026: Composer 2.5, собственная модель Cursor с «существенным улучшением интеллекта». Цены: стандартный режим $0.50/$2.50 за 1M токенов на вход/выход, быстрый $3.00/$15.00. Двойной лимит на первую неделю.
- 11 мая: Cursor в Microsoft Teams — @Cursor в каналах Teams делегирует задачи облачным агентам, автоматически выбирает репозиторий и модель.
- 19 мая: Cursor в Jira — интеграция с Jira Cloud через Rovo. @Cursor или назначение задачи запускает облачного агента для исправления ошибок, реализации функций, написания тестов.
Cursor SDK, полноценный TypeScript API через npm install @cursor/sdk. Две среды выполнения: локальная local: { cwd } и облачная cloud: { repos, autoCreatePR }. Облачный режим запускает выделенную виртуальную машину с песочницей: клонированная среда, переживает спящий режим и потерю связи. Наследует всю инфраструктуру Cursor: индексацию кодовой базы, MCP-серверы, скиллы, хуки, субагенты. Ценообразование потокенное, по стандартным тарифам.
Принципиальный сдвиг: агент перестаёт быть «программой с плагинами» и становится библиотекой, которую вызывают из пользовательского кода. CI/CD-конвейер, продуктовый бот, автоматический рецензент — всё это теперь строится на SDK, а не на маркетплейсе.
Маркетплейс содержит более 50 плагинов в 8 категориях. Среди недавних добавлений — Buildkite, Grafana Cloud, Mixpanel, Sonatype. В мае добавлены командные политики маркетплейса: режимы «выключено по умолчанию», «включено по умолчанию» и «обязательно» для корпоративного управления плагинами.
OpenAI: ChatGPT Apps + Codex CLI
У OpenAI два фронта. ChatGPT App Directory запущен 17–18 декабря 2025 — публичные заявки через OpenAI Developer Platform. Пилотные партнёры с октября 2025: Booking.com, Canva, Coursera, Figma, Expedia, Spotify, Zillow. Apps SDK под капотом строится на MCP, расширяя стандарт виджетной среды выполнения для интерактивного интерфейса. К маю 2026 пометка «бета» убрана из Apps Directory для корпоративных и образовательных тарифов, что сигнализирует о готовности к промышленной эксплуатации.
Codex CLI, кодинг-агент с открытым исходным кодом на Rust, повторяет тот же паттерн: marketplace.json, скиллы + MCP-серверы + коннекторы приложений как примитивы плагина, встроенный маркетплейс «OpenAI Curated» рядом с пользовательскими маркетплейсами из .agents/plugins/ или git-репозиториев. У Codex есть встроенный скилл @plugin-creator, ассистент для создания каркаса нового плагина. ChatGPT App Directory и Codex CLI связаны: при публикации одобренного app в ChatGPT Store «OpenAI creates a plugin for Codex distribution», кросс-канал распространения встроен в продукт.
Что изменилось в мае. Codex CLI прошёл через два значимых релиза и выпустил расширение для браузера:
- Codex CLI 0.129: модальное Vim-редактирование в композере,
/diffс учётом рабочего пространства, расширенное управление плагинами с контролем доступа и удалённой синхронизацией, браузер/hooks. - Codex CLI 0.130, 8 мая: встроенный интерфейс проверки доверия для хуков, CLI-команды маркетплейса, распространение с учётом версий, хуки плагинов включены по умолчанию, группировка плагинов по маркетплейсу.
- Расширение для Chrome, 7 мая. Codex работает прямо в Chrome на macOS и Windows, используя авторизованный браузерный контекст пользователя: LinkedIn, Salesforce, Gmail, внутренние инструменты. Задачи запускаются в изолированных группах вкладок. Требует расширенных разрешений: история, закладки, отладчик, нативная коммуникация. Первый кодинг-агент, работающий в браузере как в среде исполнения, а не просто подключающий браузер как инструмент.
Windsurf
Windsurf, бывший Codeium, четвёртый крупный игрок, сделал ставку на корпоративный сегмент. MCP Marketplace доступен из меню в Cascade-панели, официальные серверы помечены синей галочкой. Установка через ссылку в один клик формата windsurf://windsurf-mcp-registry?serverName=<server-name> либо через ручное редактирование mcp_config.json. Поддерживаются три транспорта: stdio, Streamable HTTP, SSE, плюс OAuth.
Главная корпоративная функция: собственные адреса реестров. Организации могут зарегистрировать внутренние MCP-реестры, и пользователь видит объединение всех зарегистрированных серверов, стандартных и корпоративных. Закрывает сценарии, где стандартный маркетплейс не проходит по требованиям регулятора: финансы, оборонка, регулируемые отрасли.
Что изменилось в мае. Devin Review и Quick Review теперь доступны всем пользователям с самообслуживанием; ранее это работало только для корпоративных клиентов. Настройки вынесены в отдельную вкладку, улучшены входящие агента и управление сессиями. Windsurf остаётся наименее публичным из четырёх вендоров: не публикует число серверов и не раскрывает экономику.
Экономика маркетплейсов: от чёрного ящика к контурам модели
В апрельской версии этот раздел назывался «чёрный ящик». В мае картина прояснилась, хотя и не потому, что вендоры раскрыли ценообразование. Просто вокруг экосистем проявились измеримые экономические сигналы.
Anthropic достиг $30 млрд годовой выручки (ARR) в апреле 2026 года. Рост: $87M в январе 2024, $1B в декабре 2024, $9B к концу 2025, $30B к апрелю 2026, то есть 80x за год. Около 80% приходится на enterprise, свыше 1000 клиентов тратят больше $1M в год. OpenAI оспаривает цифру на ~$8B из-за разницы в методологии учёта, но по данным Counterpoint Research, Anthropic занимает 31.4% глобального LLM-рынка в Q1 2026 против 29% у OpenAI. Стратегически Anthropic усилил позицию приобретением Stainless за $300M+, платформы генерации SDK, которая строила официальные клиентские библиотеки для OpenAI, Google и Cloudflare. Ход по контролю инфраструктуры разработчиков.
К маю 2026 аналитики выделяют восемь ключевых маркетплейсов AI-агентов:
Claude Skills / Plugin Marketplace: бесплатное распространение с git-репозиторием в основе, децентрализованная модель. GPT Store / ChatGPT App Directory: централизованный каталог с долей от выручки за использование. Cursor Marketplace: централизованный, бесплатное распространение с командными политиками управления. Windsurf MCP Marketplace: гибридная модель из бесплатного распространения и собственных корпоративных реестров. MCP Hubs на registry.modelcontextprotocol.io: децентрализованный открытый реестр. Hugging Face Spaces: платформа с моделями и вычислительными мощностями. Replit Agent Market: маркетплейс с прямыми продажами агентов. Vercel Agent Gallery и Cloudflare AI: платформы с оплатой за вычисления.
Формируется трёхуровневая структура: крупнейшие поставщики Anthropic и OpenAI, корпоративные вендоры Cursor и Windsurf, агентные стартапы Composio и Replit. Экономическая логика у каждого уровня своя, и это важно.
Прямое распределение доходов с независимыми разработчиками плагинов по-прежнему не объявлено ни одним из четырёх ведущих вендоров. GPT Store предлагает долю от выручки, но условия не публичны. Composio, привлёкший $29M в июле 2025, зарабатывает на корпоративных лицензиях за централизованное управление MCP-шлюзом: мост между вендорами, а не комиссия за плагин.
Итог тот же: деньги вокруг экосистем есть, и они огромны. $30B годовой выручки у Anthropic, больше, чем у многих SaaS-гигантов. Но монетизация плагинов идёт через основной продукт, API и подписки, а не через комиссию с третьих сторон. Маркетплейс в этой модели работает как генератор лояльности, повышающий стоимость переключения: чем плотнее экосистема, тем дороже уходить.
Миграция между вендорами: что портативно, что нет
Практический вопрос: что будет работать у других вендоров без переписывания.
MCP-сервер портативен. Filesystem-сервер, написанный для Claude Code, без модификаций работает с Cursor, Windsurf, ChatGPT Apps, Codex CLI. Самый ценный уровень портативности, заложенный в дизайн стандарта. Но есть нюанс: каждый клиент поддерживает разное подмножество возможностей MCP. Cursor поддерживает Tools, Prompts, Resources, Roots, Elicitation, Apps. Windsurf — другой, не до конца документированный набор. Если плагин использует расширение Apps, гарантированно работает только в Cursor 2.6+ и ChatGPT Apps; для базовых функций-инструментов ограничений почти нет.
Скиллы, плагины и хуки не портативны. Скилл Claude Code не запустится в Cursor без портирования. Хуки Claude Code не сработают в Codex CLI, хотя оба используют JSON-формат конфигурации. Структура файлов, конвенции каталогов, пространства имён, формат манифеста — у каждого вендора свои.
SDK усиливает привязку к вендору. TypeScript-библиотека Cursor SDK создаёт новый уровень зависимости: код, написанный на @cursor/sdk, работает только в среде выполнения Cursor. OpenAI Codex CLI предоставляет аналогичный программный доступ через свою систему. Anthropic пока не объявил публичный SDK для Claude Code, хотя Claude Agent SDK существует на уровне API. Привязка перемещается с уровня плагинов на уровень кода, миграция становится ещё дороже.
agentskills.io — открытый стандарт для скиллов, опубликованный Anthropic в декабре 2025. Формально поддерживается всеми четырьмя вендорами: Claude Code строит скиллы по этому стандарту, Codex CLI принял его в течение 48 часов, Cursor и Windsurf добавили поддержку в Q1 2026. К марту 2026 у стандарта 32 adopter’а, включая Google, JetBrains, Sourcegraph, Snowflake. Однако портативность ограничена: SKILL.md — общий формат, но каталоги, пространства имён и механизмы загрузки у каждого вендора свои, поэтому скилл, написанный для одного клиента, требует ручной адаптации для другого.
На практике разработчик плагина выбирает: писать MCP-сервер (один раз — работает у всех) или писать интеграцию через скиллы, плагины и SDK (быстрее и глубже у одного вендора, но требует портирования к другим). Корпоративные команды чаще делают первое. Индивидуальные разработчики — второе.
Безопасность: от гипотетической к документированной
7 мая 2026 Microsoft Security Blog опубликовал разбор двух RCE-уязвимостей в Semantic Kernel, собственном фреймворке Microsoft для AI-агентов:
- CVE-2026-25592 (CVSS 10.0, .NET SDK): метод
DownloadFileAsyncслучайно помечен атрибутом[KernelFunction]без валидации путей. Через внедрение в промпт атакующий получает побег из песочницы Azure Container Apps. Исправлено в SDK 1.71.0+. - CVE-2026-26030 (CVSS 9.9, Python SDK): f-string в
InMemoryVectorStoreфильтре подставляет LLM-контролируемый параметр без параметризации. Блоклист обходится через__class__.__bases__[0].__subclasses__(). Исправлено в semantic-kernel 1.39.4+.
19 апреля 2026: взлом Vercel через скомпрометированный AI-инструмент Context.ai. Сотрудник Context.ai скомпрометирован через Lumma Stealer → доступ к Google Workspace сотрудника Vercel → его Vercel-аккаунт → перечисление и расшифровка переменных окружения. Проекты с открытым исходным кодом (Next.js, Turbopack) не затронуты, но данные выставлены на BreachForums. Vercel привлёк Google Mandiant для расследования.
Системная статистика. Отчёт Gravitee «State of AI Agent Security 2026» по 900+ респондентам: 88% организаций подтвердили или подозревают инциденты безопасности с AI-агентами за последний год. При этом 82% топ-менеджеров уверены, что их политики защищают от несанкционированных действий агентов. Когнитивный разрыв, знакомый по каждой волне корпоративных технологий. Организации с принципом минимальных привилегий: 17% инцидентов против 76% без него. Proofpoint опросил 1400 ИБ-специалистов в 12 странах: 42% организаций уже зафиксировали AI-инцидент; 52% не уверены, что их контроли обнаружат скомпрометированный AI-агент.
Отдельно: CyberStrikeAI, AI-агент, автономно скомпрометировал 600+ FortiGate-фаерволов в 55 странах. Внутренний AI-агент Meta временно раскрыл данные неуполномоченным сотрудникам. Это не гипотетический сценарий, а реальный кейс.
Рецензирование и корпоративное управление
Ни у одного из четырёх вендоров нет публичных обязательств по срокам рецензирования плагинов, нет описанных критериев, нет временных рамок. Cursor добавил командные политики маркетплейса («выключено по умолчанию», «включено по умолчанию», «обязательно»), что закрывает часть корпоративного управления, но индивидуальный разработчик всё ещё не знает, как и когда его заявка пройдёт проверку. OpenAI убрал пометку «бета» из Apps Directory для корпоративных и образовательных тарифов — косвенно это сигнал, что процесс рецензирования зрелый, но его параметры не документированы.
Количество плагинов и метрики вовлечённости
Точные числа опубликованных плагинов по-прежнему не публикует никто. У Cursor — «более 50 плагинов в 8 категориях», у Anthropic и OpenAI — ничего конкретного. Без публичных метрик невозможно оценить реальный объём экосистемы, темпы роста, концентрацию (распределение Парето), отток. VS Code Marketplace в публичной статистике показывает миллионы установок и тысячи активных расширений. AI-кодинг-экосистемы до такой прозрачности пока не доросли.
Что складывается и куда движется
К маю 2026 года в экосистеме AI-кодинг-агентов устоялось пять вещей.
MCP — общепринятый фундамент. Новых агентов без его поддержки не появляется. Дорожная карта протокола на 2026 год направлена на корпоративную зрелость, а не на пересмотр ядра. Расширение Apps развивается. Ни один вендор не пытается предложить альтернативу.
Уровень плагинов фрагментирован и останется таким надолго. Появление SDK у Cursor и Codex CLI не уменьшило фрагментацию, а добавило ещё один слой: привязка к вендору работает теперь не только на уровне формата плагинов, но и на уровне программного API.
Монетизация идёт через основной продукт. Прямого распределения доходов за плагины нет ни у одного вендора. Деньги приходят через корпоративные подписки, потокенное ценообразование (Cursor SDK), гонку годовой выручки Anthropic против OpenAI. Формат «App Store с комиссией» выглядит менее вероятным, чем казался ещё в апреле.
SDK превращает агент из продукта в библиотеку. Cursor SDK в публичной бете, Codex CLI наращивает программный доступ. Cursor уже интегрирован в Microsoft Teams и Jira: агент как вызываемый сервис, а не как настольный инструмент. Composer 2.5, собственная модель Cursor, делает ещё один шаг к вертикальной интеграции.
Безопасность перестала быть прогнозом. Удалённое выполнение кода в Semantic Kernel с оценкой CVSS 10.0, взлом Vercel через AI-инструмент, 88% организаций с подтверждёнными или подозреваемыми инцидентами за год.
Куда это ведёт к концу 2026
SDK начнёт вытеснять часть плагинов. Когда агент вызывается из TypeScript-кода или работает прямо в браузере через расширение Codex для Chrome, плагин уже не единственный способ его расширить. Выживут плагины, дающие специализированный контекст вроде Datadog, PlanetScale, Jira, а универсальные утилиты проиграют прямым SDK-интеграциям.
Вендоры продолжат выпускать собственные модели. Codeium строил собственные LLM для автодополнения и генерации кода с 2023 года; Cursor Composer 2.5, вышедший в мае 2026, стал первой попыткой IDE-вендора выпустить полноценную агентную модель, конкурирующую с frontier-моделями по бенчмаркам. Если Composer покажет адекватное качество при меньшей цене — $0.50 за 1M входных токенов против $5 у Opus 4.6 — другие последуют. Windsurf — наиболее вероятный следующий кандидат: база собственных моделей у него уже есть.
Корпоративное управление станет платным конкурентным преимуществом. Командные политики маркетплейса у Cursor, собственные адреса реестров у Windsurf, управляемые настройки у Claude Code: всё это функции, за которые организации платят. По мере роста инцидентов безопасности прослойка управления станет обязательной. Вендор, который первым предложит полноценный журнал аудита, ограничение привилегий и изоляцию для плагинов, получит преимущество в корпоративном сегменте.
Агенты выйдут за пределы IDE. Cursor в Teams и Jira, Codex в Chrome, Claude Code с Dispatch для задач с телефона. К концу 2026 вероятно появление агента, работающего изнутри Slack, Notion или Linear, не через MCP-сервер, а как встроенный участник рабочего процесса.
Апрельская картина «AI-кодинг-агенты оформились как платформы» за три недели мая сменилась на «AI-кодинг-агенты стали программируемыми сервисами». MCP остаётся фундаментом, который никто не оспаривает. Плагины фрагментированы надолго. SDK молодой и растущий. Безопасность из прогноза превратилась в проблему. Экономика вращается вокруг основного продукта, не вокруг маркетплейса.
Статья основана на материалах modelcontextprotocol.io, github.com/modelcontextprotocol/servers, документации Claude Code, Cursor, OpenAI Apps SDK, Codex CLI, Windsurf, Microsoft Security Blog, отчётах Gravitee и Proofpoint, обзорах Composio и независимых публикациях апреля–мая 2026 года.
