PyTorch基金會宣布正在接管Safetensors作為其最新的託管專案,與DeepSpeed、Ray和vLLM一起納入Linux Foundation旗下。由Hugging Face開發的Safetensors已成為Python pickle格式在模型序列化中的事實替代品——這是一個關鍵轉變,因為pickle檔案在載入時可以執行任意程式碼,為任何下載模型的人創造了巨大的安全漏洞。
這一舉措表明模型安全已從「最好有」升級為「生產必需品」。隨著AI模型從研究玩具轉向支撐從程式設計助手到自主代理等一切的生產基礎設施,攻擊面已經爆炸式增長。pickle格式執行任意Python程式碼的能力使其成為定時炸彈——對研究人員來說很方便,對任何大規模執行模型的人來說很可怕。Safetensors就像模型資料的「目錄」,沒有執行風險,而且在多GPU設置中更快。
值得注意的是時機和參與者。Hugging Face本質上放棄了他們的關鍵競爭優勢之一——一個大部分開源ML生態系統都採用的安全、高效能序列化格式。通過將其轉移到PyTorch基金會,他們賭注更廣泛的採用和社群治理將鞏固Safetensors作為標準,而不是將其保留為Hugging Face的差異化優勢。
對開發者來說,這很直接:如果你們還在使用pickle進行模型序列化,停止吧。安全風險不再是理論上的,有了基金會的支持,Safetensors將獲得生產部署所需的企業級開發和安全稽核。