📦 Xiaomi — 小米

v1.2.0

通过 Home Assistant 使用自然语言本地控制 Xiaomi/Mijia 智能家居设备，管理灯光、空调、门锁、风扇、传感器等。

0· 11·0 当前·0 累计

by @canmaxfire

生产力工具

下载技能包

最后更新

2026/4/21

安全扫描

VirusTotal

Pending

查看报告

OpenClaw

可疑

high confidence

该技能基本实现了其描述的功能（本地 Home Assistant 控制），但在安装前需了解其存在明显的不一致性和持久化行为。

评估建议

该技能似乎为小米设备实现了本地 Home Assistant 桥接，需使用 Home Assistant 长期令牌（HA_TOKEN），并会安装一个本地 HTTP JSON-RPC 服务器，从 scripts/ha-mcp-server/.env 读取该令牌。安装前请注意两点： 1. 注册元数据未列出所需凭据——你需本地创建并保存敏感的 HA_TOKEN，像密码一样保管。 2. 提供的安装脚本会安装 LaunchAgent 以常驻运行 MCP 服务器，并执行 docker 与 npm install（从 ghcr.io 拉取 Home Assistant 镜像，从 npm 安装依赖）。若信任来源，行为与描述一致；否则请先审查脚本（setup.sh 与 scripts/ha-mcp-server/*）及 LaunchAgent plist 内容，并确保 .env 权限受限（如 chmod 600）。若需更高安全性：在隔离环境（专用用户或容器）运行 MCP 服务器，加载前检查 LaunchAgent plist，并确认 HA_TOKEN 仅用于本地调用 http://localho...

详细分析 ▾

⚠ 用途与能力

该技能的描述与代码均表明其为 Home Assistant → Xiaomi 本地控制桥，但注册元数据未声明任何必需的环境变量或凭据，而 SKILL.md、README、setup.sh 及服务器代码却要求并使用本地 .env 中的 Home Assistant 长期令牌（HA_TOKEN）和 HA_URL。元数据“无需凭据”与运行时“必需 HA_TOKEN”的不一致，用户应知晓。

ℹ 指令范围

SKILL.md 与 README 将行为限制为通过 Home Assistant 进行本地控制。附带的服务器与工具读取本地 scripts/ha-mcp-server/.env 文件中的 HA_URL 与 HA_TOKEN，并在 localhost:3002 暴露 HTTP JSON-RPC 端点。运行说明会索要 HA token，并指导安装 Home Assistant、npm 依赖并启动本地 MCP 服务器——这些均属本技能范围。注意，安装脚本还会创建 LaunchAgent，并提示用户将 token 写入 .env；技能会直接读取该文件。

ℹ 安装机制

没有“registry install”规范，但 bundle 内含 setup.sh，会执行 docker-compose（或 docker run）并在 ha-mcp-server 目录运行 npm install。这些操作会从 ghcr.io 拉取 Home Assistant 镜像，并从 npm registry 获取 Node 包（属正常行为）。未发现可疑 URL 下载或任意主机提取模式。

⚠ 凭证需求

该技能需在本地 .env 中保存 Home Assistant Long-Lived Access Token（HA_TOKEN）与 HA_URL，这是实现声明功能所必需。但公开注册元数据未声明任何所需环境变量（存在不匹配）。技能会将持久化令牌写入文件系统文件（~/.openclaw/.../scripts/ha-mcp-server/.env），安装脚本会提示用户粘贴令牌。此举与目的相称，但你必须将该令牌视为敏感凭据，并确保 .env 受到保护。

⚠ 持久化与权限

setup.sh 会安装 macOS LaunchAgent（ai.openclaw.ha-mcp.plist）并通过 launchctl 加载，使 MCP server 在登录后持续运行。技能元数据将 always 设为 false，但提供的 setup flow 会在主机上创建持久服务。用户需注意，这会在其用户 LaunchAgents 中写入配置，并运行一个后台进程，将 HA token 保存在 .env 中。

⚠ scripts/ha-mcp-server/src/call-tool.mjs:22

环境变量访问结合网络发送

⚠ scripts/ha-mcp-server/src/call-tool.mjs:7

文件读取与网络发送结合（可能存在数据外泄）。

⚠ scripts/ha-mcp-server/src/http-server.mjs:7

文件读取与网络发送结合（可能存在数据外泄）。

安全有层次，运行前请审查代码。

运行时依赖

无特殊依赖

版本

latestv1.2.02026/4/21

修复：MCP 服务器上的 bearer token 认证，CORS 限制为 localhost，声明 HA_TOKEN 凭据

● Pending

安装命令

点击复制

官方npx clawhub@latest install openclaw-xiaomi-home

镜像加速npx clawhub@latest install openclaw-xiaomi-home --registry https://cn.longxiaskill.com镜像同步中

需要定制？告诉我你的需求 →

数据来源：ClawHub ↗ · 中文优化：龙虾技能库