La Fondation PyTorch a annoncé qu'elle reprend Safetensors comme son plus récent projet hébergé, rejoignant DeepSpeed, Ray et vLLM sous l'égide de la Linux Foundation. Développé par Hugging Face, Safetensors est devenu le remplaçant de facto du format pickle de Python pour la sérialisation de modèles — un changement critique puisque les fichiers pickle peuvent exécuter du code arbitraire lors du chargement, créant des failles de sécurité énormes pour quiconque télécharge des modèles.
Cette décision signale que la sécurité des modèles est passée de « nice to have » à « nécessité de production ». Alors que les modèles d'IA passent de jouets de recherche à infrastructure de production alimentant tout, des assistants de codage aux agents autonomes, la surface d'attaque a explosé. La capacité du format pickle à exécuter du code Python arbitraire en faisait une bombe à retardement — pratique pour les chercheurs, terrifiant pour quiconque fait tourner des modèles à grande échelle. Safetensors agit comme une « table des matières » pour les données de modèle sans le risque d'exécution, en plus d'être plus rapide sur les configurations multi-GPU.
Ce qui est révélateur, c'est le timing et le joueur impliqué. Hugging Face a essentiellement donné l'un de ses principaux avantages concurrentiels — un format de sérialisation sécurisé et performant que la plupart de l'écosystème ML open source a adopté. En le déplaçant vers la Fondation PyTorch, ils parient que l'adoption plus large et la gouvernance communautaire solidifieront Safetensors comme le standard, plutôt que de le garder comme différenciateur Hugging Face.
Pour les développeurs, c'est simple : si vous utilisez encore pickle pour la sérialisation de modèles, arrêtez. Les risques de sécurité ne sont plus théoriques, et avec le soutien de la Fondation, Safetensors obtiendra le développement de niveau entreprise et l'audit de sécurité nécessaires pour le déploiement en production.