PyTorch基金会宣布正在接管Safetensors作为其最新的托管项目,与DeepSpeed、Ray和vLLM一起归入Linux Foundation旗下。由Hugging Face开发的Safetensors已成为Python pickle格式在模型序列化中的事实替代品——这是一个关键转变,因为pickle文件在加载时可以执行任意代码,为任何下载模型的人创造了巨大的安全漏洞。
这一举措表明模型安全已从"最好有"升级为"生产必需品"。随着AI模型从研究玩具转向支撑从编程助手到自主代理等一切的生产基础设施,攻击面已经爆炸式增长。pickle格式运行任意Python代码的能力使其成为定时炸弹——对研究人员来说很方便,对任何大规模运行模型的人来说很可怕。Safetensors就像模型数据的"目录",没有执行风险,而且在多GPU设置中更快。
值得注意的是时机和参与者。Hugging Face本质上放弃了他们的关键竞争优势之一——一个大部分开源ML生态系统都采用的安全、高性能序列化格式。通过将其转移到PyTorch基金会,他们押注更广泛的采用和社区治理将巩固Safetensors作为标准,而不是将其保留为Hugging Face的差异化优势。
对开发者来说,这很直接:如果你们还在使用pickle进行模型序列化,停止吧。安全风险不再是理论上的,有了基金会的支持,Safetensors将获得生产部署所需的企业级开发和安全审计。