核心用法
TriggerCMD 技能允许用户通过 REST API 远程管理已注册的计算机,主要提供两项功能:
1. list_commands – 列出账户下所有计算机的所有预设命令,输出包含计算机名称、命令名称、语音触发词、是否接受参数及 MCP 工具描述等字段
2. run_command – 在指定计算机上执行特定命令,支持传递参数(若命令配置允许)
认证采用 Bearer Token 机制,支持两种方式:环境变量 TRIGGERCMD_TOKEN(推荐)或文件 ~/.TRIGGERcmdData/token.tkn(需 chmod 600)。API 基础地址为 https://www.triggercmd.com/api,依赖 curl 和 jq 完成 HTTP 请求与 JSON 处理。
显著优点
- 跨平台远程控制:统一管理多台计算机的自定义脚本或系统命令
- 双重认证机制:环境变量适合临时会话,文件方式适合持久化配置,兼顾灵活性与安全性
- 参数化命令支持:部分命令可通过
params字段动态传参,提升自动化灵活性 - 结构化输出:JSON API 配合
jq可实现灵活的过滤与格式化,便于脚本集成
潜在缺点与局限性
- 依赖外部 SaaS 服务:所有流量需经过 TRIGGERcmd 云端,存在单点故障与隐私顾虑
- 无本地回退机制:API 不可用时无法直接局域网控制目标设备
- Token 管理风险:文件方式需用户手动设置权限,误配置可能导致凭证泄露
- 功能边界受限:仅支持预配置的命令列表,无法动态发现或修改目标计算机的可用命令
适合人群
- 需要远程触发家庭服务器、智能家居或工作电脑脚本的进阶用户
- 已使用 TRIGGERcmd 生态并希望通过 CLI/API 扩展自动化场景的开发者
- 熟悉
curl、jq及环境变量管理的 Linux/macOS 用户
常规风险
| 风险类型 | 说明 |
|---------|------|
| 凭证泄露 | Token 明文存储于文件或环境变量,多用户系统或日志截屏可能暴露 |
| 越权执行 | 获取 Token 后可触发账户下任意计算机的任意命令,无额外 MFA 保护 |
| 网络拦截 | 虽使用 HTTPS,但 Token 长期有效,一旦泄露难以快速撤销 |
| 误操作破坏 | `run_command` 可直接执行系统级指令,建议先用 `list_commands` 确认命令安全性 |
建议启用最小权限原则:为不同场景创建独立 TRIGGERcmd 账户或计算机条目,避免高敏感操作与日常任务混用同一 Token。