Я просто хочу, чтобы в каждом подобном случае были четко прописаны
правила безопасности. 1. Нельзя замыкать контур ОС через канал связи с неизвестной надежностью.
2. Должен быт предусмотрен обрыв связи в любой момент и на любое время. Поэтому выдается не одна команда, а целый пакет. И начинает он исполняться только после получения всего пакета и проверки CRC. В пакете должно быть задано, что дает устройство при отсутствии какого-либо воздействия после. Либо это дефлотное действие, заданное при проектировании системы.
3. В любой момент любое устройство может быть всхачено самым злобным хакером. Который начнет выдавать оптимальные для разрушения системы команды. Надо считать, что хакер знает твою систему лучше тебя. И что все твои секретные ключи у него есть. До того, как ты их создал. Должен быть неотключаемый контур безопасности.
... наверное много чего еще. Тут уже думать надо.