5 月 27 日,Home Assistant 里一个大众车主常用的集成突然失灵。
GitHub issue #967 中,用户反馈 Volkswagen Carnet 集成提示认证过期。重新输入邮箱和密码,仍然无法登录。怪就怪在这里:大众 Android App 还能用,浏览器也能登录 VW ID。
所以这不像账号坏了,也不像大众服务整体宕机。更像第三方接入这条路被卡住了。车还在车库里,入口却在云上。
断掉的是 Home Assistant 这条非官方通道
目前能确认的边界要说清楚:这不是大众官方公告,也不能直接写成“大众关闭了所有 API”。材料主要来自 GitHub issue #967 和社区讨论。
现在能看到的是:Home Assistant 的 Volkswagen Carnet 第三方集成无法正常登录。
| 通道 | 当前反馈 | 能说明什么 |
|---|---|---|
| Home Assistant Volkswagen Carnet 集成 | 提示认证过期,重登失败 | 非官方集成受阻 |
| 大众 Android App | 用户称仍可使用 | 官方 App 通道未断 |
| 浏览器登录 VW ID | 用户称仍可登录 | 账号本身未必异常 |
| 认证流程 | 社区提到要求 client assertion | 第三方缺少被认可的客户端身份 |
client assertion 可以简单理解为:服务端不只问“你是不是这个账号的主人”,还要问“你是不是我认可的客户端”。
账号密码只能证明用户身份。client assertion 证明客户端身份。官方 App 通常有这张“通行证”,开源集成和脚本未必有。
这件事影响的不是随手点一下 App 的车主,而是把车接进 Home Assistant 的人。比如:
- 用车辆电量和电价联动充电;
- 用车辆状态触发到家自动化;
- 远程控制空调、读取位置、同步充电状态;
- 维护 Volkswagen Carnet 集成的开源开发者。
对这些用户来说,坏的不是一个按钮。坏的是一整串自动化。
有没有临时解决方案?从现有材料看,至少还不能把它当成有稳定 workaround 的问题。更现实的动作是:依赖这个集成做关键场景的人,先把充电、空调、到家触发这类自动化降级,不要继续当成基础设施。
开发者也要调整预期。过去靠模拟登录、逆向认证流程维持的集成,只要厂商把客户端身份校验收紧,就会变成猫鼠游戏。
大众拦住的不是插件,是低成本入口
社区里有人说,大众已经永久禁用了相关 API。这个说法只能当用户判断,不能当官方结论。
但另一个线索更有意思:有人提到,市面上仍存在面向企业的付费商业 API,例如 Tronity 这类服务在使用。也就是说,门未必消失了,门槛可能变了。
这才是联网汽车最现实的地方。
过去,很多车主以为车辆数据天然属于自己。车是我买的,账号是我注册的,电量、位置、空调状态当然也该让我接进自己的系统。
车企的账本不是这么算的。
车辆数据不只是售后附属品。它可以接订阅,可以接车队管理,可以接保险,可以接能源服务,也可以接企业 API。免费、非官方、低成本的入口越好用,越容易撞上厂商的商业边界。
“天下熙熙,皆为利来。”这句话放在联网汽车上并不高深:数据入口能变现,就不会长期保持灰色开放。
当然,不能把 client assertion 直接说成作恶。汽车不是天气插件。它涉及位置、门锁、远程控制、电池和隐私。加强客户端认证,有安全和合规理由。
问题在于,安全也是最方便的外衣。
同一套认证收紧,可以保护用户,也可以保护收费通道。外部看起来都是“为了安全”,落到用户身上,差别很大:
| 路线 | 用户得到什么 | 用户失去什么 |
|---|---|---|
| 官方 App 继续可用 | 基础远程功能还在 | 自动化能力被限制在厂商界面里 |
| 个人 API 清楚开放 | 用户可合法接入 Home Assistant | 厂商要承担支持和安全成本 |
| 只保留企业商业 API | 厂商更容易管理和收费 | 普通车主被挡在门外 |
| 非官方逆向继续维持 | 用户短期还能折腾 | 随时可能因认证变化失效 |
我不太买账的是那种模糊处理:嘴上说安全,实际不给个人用户任何稳定、可负担、可申请的路径。
如果大众愿意提供清楚的个人开发者 API,开源维护者不会非要靠逆向过日子。怕的是只给官方 App 和企业客户留路,普通车主只能选:要么回到官方 App,要么放弃自动化。
这不是技术问题那么简单。它是控制权分配。
真正要盯的是账号、API 和订阅层
智能汽车和传统汽车最大的差别,不是屏幕更大,也不是能 OTA。真正的差别是控制权分层了。
你买下的是硬件。账号、云端认证、API 权限、订阅开关,是另一套门禁。
这套门禁一收紧,家里的自动化会立刻变脆。昨天还能按低谷电价自动充电,今天认证过期。昨天还能提前开空调,今天只能打开官方 App。昨天你以为自己在控制车,今天发现自己只是借用了厂商没锁死的接口。
这不只发生在大众身上。智能家居、可穿戴设备、联网摄像头、汽车云服务,都在沿着类似轨道走:先靠开放感吸引高级用户,再用安全、合规、商业化重新划线。
和 PC 时代不完全一样。PC 的本地软件大多还在用户机器上。联网汽车不同,关键动作常常要经过云端认证。钥匙不只在手里,也在服务器上。
对 Home Assistant 用户,接下来最该观察的不是情绪化地等一句“大众是不是坏了”。更具体的变量有四个:
- Volkswagen Carnet 集成维护者是否确认认证流程变化;
- 是否存在稳定修复,而不是短期绕过;
- 大众是否给个人用户留下正式 API 路径;
- 企业商业 API 与个人非官方接入之间的边界是否继续拉大。
在这些变量没清楚前,实际建议很简单:别把依赖车企云端、非官方认证、逆向接口的自动化当关键系统。
能用,是运气。不能用,才是这套结构的默认风险。
对准备买车、换车、搭 Home Assistant 的人,这件事也给了一个新的检查项:别只看车机屏幕和 App 功能。要问厂商有没有稳定的数据导出、个人 API、开发者政策,以及这些权限会不会被订阅层拿走。
大众这次挡住的,表面是一个 Home Assistant 集成。更深一层,是车企把联网汽车的数据入口从开放缝隙收回到官方和商业通道里。
车主真正要争的,不是能不能少点一次 App。
是买了车之后,自己还能不能合法、稳定、低成本地使用自己的车辆数据。