clickup-mcp

ClickUp MCP 是一款面向项目管理场景的官方 Model Context Protocol (MCP) 服务集成方案，通过标准化接口将 ClickUp 工作区的核心能力无缝接入 AI 助手生态。该技能本质上是一份详尽的配置文档，指导用户通过 mcporter 工具与 ClickUp 官方 MCP 服务端点（https://mcp.clickup.com/mcp）建立安全连接，实现对工作区资源的全方位管理。

核心用法

用户需首先通过 Claude Code 等白名单客户端完成 OAuth 授权流程，获取长周期访问令牌（Token 有效期约 10 年），并将其配置为 CLICKUP_TOKEN 环境变量。随后通过 mcporter 工具调用 32 个标准化 API 工具，涵盖六大核心领域：全局搜索（clickup_search）、任务全生命周期管理（创建、更新、标签、附件）、评论与@提及交互、精确时间追踪（启动/停止计时器、手动录入）、工作区层级结构管理（Spaces/Folders/Lists）以及原生 Chat 和 Docs 操作。所有交互均通过 GraphQL 风格的 mcporter 命令完成，支持复杂的项目管理自动化场景。

显著优点

该方案的最大优势在于其官方背书与安全性设计。作为 ClickUp 官方提供的 MCP 服务，数据传输与 API 调用均通过官方加密通道，避免了第三方中间件的数据泄露风险。功能覆盖度极高，从基础的 CRUD 操作到专业的时间追踪、成员解析、聊天集成一应俱全，几乎涵盖了 ClickUp 网页版的核心工作流。特别值得称道的是其安全优先的设计哲学：明确禁止删除操作（需通过官方 UI 执行），有效防止了自动化脚本误删数据的风险；同时采用最小权限原则，仅需 CLICKUP_TOKEN 即可完成全部功能调用。

潜在缺点与局限性

尽管功能强大，但该技能存在若干使用门槛。首先是配置复杂度，用户必须理解 OAuth 流程、jq 命令行工具操作以及 mcporter 的 JSON 配置语法，对非技术背景的项目管理者不够友好。其次，来源可信度为 T3 级（社区/个人维护），虽经安全审计无代码风险，但长期维护稳定性不及官方直接发布的技能包。功能层面，缺失自定义字段管理、视图管理和删除操作，对于需要深度定制工作流或数据清理的高级场景有所局限。此外，长周期 Token 虽减少了频繁授权的烦恼，但一旦泄露后果严重，且依赖 mcporter 这一外部二进制工具，引入了额外的依赖维护成本。

适合的目标群体

该技能最适合已深度使用 ClickUp 作为核心项目管理平台的技术团队与项目经理。特别是那些希望通过 AI 助手实现以下场景的用户：自动化任务创建与状态更新、基于自然语言的时间条目记录、批量查询与报表生成、集成 Chat 频道的智能通知。对于 DevOps 团队、敏捷开发小组以及需要严格时间追踪的咨询/法务行业，该工具能显著提升操作效率。不适用于无 ClickUp 账号、需要频繁删除数据或完全非技术背景且无法完成命令行配置的个人用户。

使用风险与注意事项

主要风险集中在Token 安全管理与API 限流两个方面。CLICKUP_TOKEN 具有近 10 年的超长有效期，若存储不当（如明文保存在共享环境变量中）可能导致长期的数据泄露风险，建议定期轮换并严格限制文件权限（600）。ClickUp API 存在约 100 请求/分钟的速率限制，高频自动化脚本可能触发限流。此外，作为纯文档型技能，其实际执行依赖于 mcporter 工具的稳定性，若该工具版本更新导致接口变更，可能造成服务中断。建议在生产环境使用前，先在沙箱工作区验证所有关键工作流。

概述

ClickUp MCP 是 ClickUp 官方推出的 Model Context Protocol 服务，允许 AI 助手直接对接 ClickUp 工作空间，实现全功能项目管理自动化。

核心功能

该 MCP 提供 32 项工具，覆盖六大模块：

任务管理：创建/更新/查询任务、附件上传、标签管理，支持优先级、截止日期、指派人等完整字段
时间追踪：启动/停止计时器、手动录入工时、查询历史记录，满足项目工时统计需求
协作沟通：任务评论（支持@提及）、Chat 频道消息发送，打通团队沟通链路
文档协作：创建文档、管理页面结构、编辑内容，实现知识库集成
工作空间：获取层级结构（Space/Folder/List）、成员查询与解析
全局搜索：跨任务、文档、仪表盘、聊天、文件的统一搜索

显著优点

1. 官方背书：由 ClickUp 官方维护，API 稳定性与长期支持有保障
2. 功能完整：覆盖项目管理核心场景，无需频繁切换至 ClickUp Web 界面
3. 安全架构：OAuth 2.0 标准认证，Token 长期有效（约10年），用户本地管控凭证
4. 生态兼容：支持 Claude Desktop、Cursor、VS Code、Windsurf 等主流 AI 客户端

局限性与风险

| 限制类型 | 具体说明 |

|---------|---------|

| 操作限制 | **无删除操作**（安全设计），删除需回 Web UI |

| 功能缺失 | 不支持自定义字段、视图管理（View） |

| 认证门槛 | OAuth 仅限白名单客户端，其他工具需通过 Claude Code 中转提取 Token |

| 速率限制 | 约 100 请求/分钟，高频自动化场景需注意 |

| 网络依赖 | 完全依赖 ClickUp 云服务，离线不可用 |

适用人群

• 项目经理：批量创建任务、自动分配、进度追踪
• 开发团队：PR 评审任务管理、工时记录、技术文档协作
• 远程协作团队：跨时区异步沟通、Chat 集成、工作流自动化

常规风险

1. Token 泄露风险：提取的 OAuth Token 需妥善保管，避免提交至 Git 或共享环境
2. 权限边界模糊：MCP 工具权限与 ClickUp 用户权限一致，需注意最小权限原则
3. 第三方中转依赖：非白名单客户端需依赖 mcporter 等工具链，增加配置复杂度

安全评估

认证报告（CLS-Certify v2.1.0）显示该 Skill 为纯 Markdown 文档，无可执行代码，所有 API 端点均指向 ClickUp 官方域名，获 A 级评分（88分）、T2 可信来源认证。两处 ~/.claude/.credentials.json 引用均为用户手动操作说明，无自动化风险。