Safetensors wird an die PyTorch Foundation übergeben: Ein neuer Standard für KI-Sicherheit und Effizienz
Inhaltsverzeichnis
Optimieren Sie Prozesse, automatisieren Sie Workflows und fördern Sie Zusammenarbeit – alles an einem Ort.
Das Wichtigste in Kürze
- Safetensors, ein Dateiformat für maschinelles Lernen, wurde von Hugging Face initiiert und nun der PyTorch Foundation übergeben.
- Das Format wurde entwickelt, um Sicherheitslücken bei der Speicherung und dem Laden von Modellgewichten zu beheben, insbesondere im Vergleich zum älteren Pickle-Format, das willkürliche Codeausführung ermöglichen kann.
- Safetensors bietet neben verbesserter Sicherheit auch Vorteile bei der Leistung, wie schnellere Ladezeiten und Memory-Mapping-Fähigkeiten, die für große Sprachmodelle (LLMs) relevant sind.
- Die Übergabe an die PyTorch Foundation, die unter dem Dach der Linux Foundation agiert, soll eine neutrale Verwaltung und offene Governance gewährleisten und die weitere Entwicklung des Formats fördern.
- Ein externes Sicherheitsaudit bestätigte die Robustheit von Safetensors gegen kritische Sicherheitslücken.
Die digitale Landschaft ist einem stetigen Wandel unterworfen, und mit der zunehmenden Komplexität von KI-Modellen wachsen auch die Anforderungen an deren Sicherheit und Effizienz. In diesem Kontext hat sich Safetensors, ein ursprünglich von Hugging Face entwickeltes Dateiformat, als eine zentrale Innovation etabliert. Kürzlich erfolgte die Übergabe dieses Projekts an die PyTorch Foundation, ein Schritt, der weitreichende Implikationen für die gesamte KI-Gemeinschaft haben könnte.
Die Entstehung von Safetensors und seine Kernproblematik
Die Entwicklung von Safetensors resultierte aus der Notwendigkeit, eine fundamentale Sicherheitslücke im Bereich des maschinellen Lernens zu schließen. Traditionell wurden Modellgewichte oft im Pickle-Format von Python gespeichert. Dieses Format birgt jedoch ein inhärentes Risiko: Es kann bei der Deserialisierung beliebigen Code ausführen. Dies bedeutet, dass ein böswilliger Akteur potenziell schadhaften Code in ein scheinbar harmloses Modell einbetten und so die Kontrolle über das System des Nutzers erlangen könnte, sobald das Modell geladen wird. Angesichts der Verbreitung von vortrainierten Modellen und der Möglichkeit, dass jeder Modelle auf Plattformen wie dem Hugging Face Hub hochladen kann, stellte dies ein nicht zu unterschätzendes Sicherheitsrisiko dar.
Safetensors wurde konzipiert, um dieses Problem zu eliminieren. Es ermöglicht das Speichern und Laden von Tensor-Daten, ohne die Ausführung von eingebettetem Code zuzulassen. Dies macht es zu einer sichereren Alternative, selbst in Umgebungen, in denen ein hohes Misstrauen gegenüber der Herkunft der Daten besteht.
Vorteile jenseits der Sicherheit: Leistung und Skalierbarkeit
Neben dem primären Sicherheitsaspekt bietet Safetensors auch signifikante Leistungsverbesserungen, die insbesondere für den Umgang mit großen Sprachmodellen (LLMs) von Bedeutung sind:
- Schnellere Ladezeiten: Im Gegensatz zu traditionellen Formaten, die alle Gewichte sequenziell in den Speicher laden müssen, unterstützt Safetensors Memory-Mapping. Dies ermöglicht ein direktes Laden von Gewichten in den GPU-Speicher und kann die Startzeiten von Inferenz-Diensten erheblich beschleunigen (teilweise um das 2- bis 5-fache).
- Effizientes Lazy Loading: Safetensors kann Teile eines Tensors bei Bedarf laden (Lazy Loading). Diese Funktion ist besonders vorteilhaft für das Sharding von LLMs und deren effiziente Ausführung auf unterschiedlicher Hardware.
- Framework-agnostisch: Das Format ist so konzipiert, dass es über verschiedene Machine-Learning-Frameworks hinweg funktioniert, einschließlich PyTorch, TensorFlow, JAX, PaddlePaddle und NumPy. Dies fördert die Interoperabilität und vereinfacht den Austausch von Modellen.
- Klare Metadaten: Safetensors speichert Form, Datentyp und Name jedes Tensors klar definiert am Anfang der Datei. Dies erleichtert die Introspektion und das teilweise Laden von Modellen.
Die Rolle der PyTorch Foundation und der Linux Foundation
Die Entscheidung von Hugging Face, Safetensors der PyTorch Foundation zu übergeben, ist ein strategischer Schritt zur Stärkung der Open-Source-Gemeinschaft und zur Sicherstellung einer breiten Akzeptanz und Weiterentwicklung. Die PyTorch Foundation agiert unter dem Dach der Linux Foundation und bietet eine neutrale und vertrauenswürdige Heimat für Open-Source-KI-Projekte. Dies schafft die Voraussetzungen für eine offene Governance und eine Zusammenarbeit mit einem breiteren Ökosystem, das Projekte wie PyTorch, Ray, vLLM und DeepSpeed umfasst.
Die Übergabe bedeutet, dass die Markenrechte und das Repository von Safetensors nun von der Linux Foundation verwaltet werden. Für Nutzer, die Safetensors für die lokale Inferenz verwenden, bleiben das Format und die APIs unverändert. Die Zusammenarbeit mit dem PyTorch-Team soll jedoch Möglichkeiten für eine tiefere Integration in den PyTorch-Kern und weitere Optimierungen eröffnen, beispielsweise hinsichtlich gerätebewusster Ladevorgänge auf verschiedenen Beschleunigern oder der Unterstützung neuer Quantisierungs- und Datentypen.
Sicherheitsaudit und zukünftige Entwicklung
Ein von Hugging Face, EleutherAI und Stability AI in Auftrag gegebenes externes Sicherheitsaudit durch Trail of Bits bestätigte die Sicherheit von Safetensors. Es wurden keine kritischen Sicherheitslücken entdeckt, die eine willkürliche Codeausführung ermöglichen könnten. Kleinere Ungenauigkeiten in der Spezifikation und fehlende Validierungen, die polyglotte Dateien zugelassen hätten, wurden behoben. Die Implementierung in Rust trägt zusätzlich zur robusten Sicherheit des Formats bei.
Zukünftig ist geplant, Safetensors als Standardformat für das Speichern und Teilen von Modellen in der KI-Gemeinschaft zu etablieren. Dies beinhaltet die standardmäßige Installation in Bibliotheken wie Transformers und die Erweiterung um fortgeschrittene Funktionen für das Training von LLMs. Die Veröffentlichung einer Version 1.0 wird erwartet, wobei die breite Nutzerbasis von Transformers als Testumgebung dient.
Fazit
Safetensors hat sich als eine entscheidende Entwicklung im Bereich der KI-Sicherheit und -Effizienz erwiesen. Die Übergabe an die PyTorch Foundation ist ein wichtiger Schritt zur weiteren Verbreitung und Standardisierung dieses Formats. Sie unterstreicht das Engagement der KI-Gemeinschaft, nicht nur leistungsstarke, sondern auch sichere und interoperable Lösungen für die Herausforderungen der modernen KI-Entwicklung zu schaffen. Für Unternehmen und Entwickler im B2B-Bereich bedeutet dies eine verbesserte Grundlage für den sicheren und effizienten Einsatz von KI-Modellen.
Bibliographie
- Hugging Face Moves Safetensors to the PyTorch Foundation. (2026, April 8). Hacker News.
- Larabel, M. (2026, April 8). Hugging Face Contributes Safetensors To PyTorch Foundation To Secure AI Model Execution. Phoronix.
- PyTorch Foundation Announces Safetensors as Newest Contributed Project to Secure AI Model Execution. (2026, April 8). PR Newswire.
- Jik, L. (2026, March 5). Contribution guide security (#712) · b46d904 · huggingface/safetensors. GitHub.
- Atreya, M. (2025, April 23). Safetensors: The Secure, Scalable Format Powering LLM Inference. Rafay Product Documentation.
- Jean-Baptiste, G. (2023, May 23). 🐶Safetensors audited as really safe and becoming the default. EleutherAI Blog.
- Muskalla, B. (2024, February 19). Use safetensors by default for `PyTorchModelHubMixin` · Pull Request #2033 · huggingface/huggingface_hub. GitHub.
- Narsil. (2023, May 10). Preparing blogpost annoucing `safetensors` security audit + official support. · Pull Request #1096 · huggingface/blog. GitHub.
- Hugging Face. (2023, May 23). 🐶Safetensors audited as really safe and becoming the default. Hugging Face Blog.
- Leondz. (2024, December 16). Use HF safetensors by default · Pull Request #1046 · NVIDIA/garak. GitHub.
Artikel jetzt als Podcast anhören
.svg){kind=logo}
.png){kind=logo}
