Home Assistant

核心功能

Home Assistant Skill 提供了完整的智能家居控制能力，通过 REST API 与 Home Assistant 实例进行双向通信。核心功能包括：

• 设备控制：支持灯光（亮度调节）、开关、窗帘、空调、媒体播放器等全品类 HA 实体
• 场景与自动化：一键激活场景（scene）、触发脚本（script）和自动化（automation）
• 状态查询：实时获取设备状态、列出所有实体、搜索特定设备
• 双向通信：除主动控制外，还支持通过 Webhook 接收 HA 主动推送的事件（如运动检测）

显著优势

1. 架构简洁安全：仅依赖系统工具 curl 和 jq，无第三方包依赖，供应链攻击面极小
2. 凭证管理规范：支持配置文件（~/.config/home-assistant/config.json）或环境变量读取令牌，无硬编码密钥
3. CLI 封装完善：提供 ha.sh 一站式命令行工具，覆盖连接测试、实体搜索、状态控制等高频操作
4. 协议灵活：同时支持本地局域网（homeassistant.local）和远程访问（DuckDNS 等）

潜在局限

• 协议依赖用户配置：若用户配置 HTTP 而非 HTTPS，存在中间人攻击风险（RISK-001）
• 配置文件权限未校验：敏感凭证文件未强制检查访问权限（建议 0600）（RISK-003）
• 无内置超时机制：curl 请求未设置 --max-time，网络异常时可能长时间挂起
• Webhook 需手动配置：接收 HA 事件需在 HA 端配置 REST Command，非开箱即用

适合人群

• 已部署 Home Assistant 的智能家居用户
• 偏好命令行/脚本自动化的高级用户
• 需要远程或程序化控制家居设备的场景（如离家模式、定时任务联动）

风险与建议

| 风险项 | 等级 | 说明 |

|--------|------|------|

| HTTP 明文传输 | 低 | 建议文档和代码强制推荐使用 HTTPS |

| 凭证文件权限 | 信息级 | 建议添加 `chmod 600` 权限校验 |

| 网络超时 | 低 | 建议 curl 添加 `--max-time 30` 参数 |

整体而言，该 Skill 设计规范、功能聚焦、依赖最小化，是智能家居场景下的可靠选择。

核心用法

该 Skill 是 Home Assistant 智能家居生态的官方兼容控制工具，提供双向通信能力：

outbound（主动控制）：通过 REST API 调用 HA 的 /api/services/ 端点，控制灯光、开关、窗帘、温控、媒体播放器等设备，支持场景激活、脚本执行、自动化触发。

inbound（事件接收）：通过 Webhook 接收 HA 自动化推送的事件（如人体感应、门窗状态变化），实现双向联动。

配置支持环境变量或本地 JSON 文件，需用户自行生成 HA 的长期访问令牌（Long-Lived Access Token）。内置 ha.sh CLI 封装常用操作，降低命令行使用门槛。

显著优点

1. 生态完整：覆盖 HA 全品类实体（light/switch/climate/cover/media_player/scene/script/automation），支持任意服务的自由调用
2. 双向通信：不仅是控制端，还能接收 HA 事件触发外部动作
3. 零第三方依赖：仅依赖系统标准工具 curl + jq，无 pip/npm 包风险
4. 配置灵活：支持本地配置文件和环境变量，适应不同部署场景
5. 文档详尽：提供完整的 API 速查表和故障排查指南

潜在局限

1. 网络暴露风险：需确保 HA 实例使用 HTTPS，否则存在令牌泄露风险
2. 无内置超时：curl 调用未设置 --max-time，可能因网络问题阻塞
3. 配置文件权限：未强制检查 ~/.config/home-assistant/config.json 的权限（建议 600）
4. T3 来源等级：个人开发者/社区项目，需用户自行审查代码

适合人群

• 已有 Home Assistant 部署的智能家居用户
• 需要通过命令行/脚本批量控制 HA 设备的高级用户
• 希望将 HA 事件集成到外部工作流的自动化爱好者

常规风险

• 令牌安全：长期访问令牌需妥善保管，泄露后可完全控制 HA 实例
• 中间人攻击：若使用 HTTP 或自签证书，存在请求拦截和篡改风险
• Webhook 验证：接收端需自行校验 Authorization 头，防止伪造事件推送
• 权限边界：HA Token 的权限范围由 HA 侧控制，Skill 本身不做权限隔离