Hugging Faceの「Safetensors」がPyTorch Foundationへ移管 ── モデル共有のデファクトが中立性を獲得
オープンソースのAIモデルをダウンロードする時、セキュリティの不安を感じたことはないだろうか。Hugging Faceが開発した安全なモデル保存フォーマット「Safetensors」が、この度PyTorch Foundationに移管されることが発表された。特定の企業に属していた重要インフラがコミュニティの手に委ねられるのは、非常に大きな意味を持つ。
▸何が変わったのか
これまでHugging Face管轄だったSafetensorsが、DeepSpeedやRay、vLLMなどと共にLinux Foundation配下のPyTorch Foundationに加盟する。これにより、商標やリポジトリの管理、プロジェクトのガバナンスが単一企業からLinux Foundationへと完全に移行。とはいえ、Hugging FaceのコアメンテナーであるLucとDanielの2名がTechnical Steering Committeeに留まり、日常的な開発をリードしていく。既存ユーザーへの影響はなく、フォーマットやAPI、Hubの統合機能に破壊的変更は一切ない。
◈前モデル / 競合との比較
従来主流だったpickleベースのフォーマットと比較して、悪意あるコードの実行リスクを根本から排除。また、全チェックポイントのデシリアライズを伴わないLazy loadingや、ディスクから直接読み込むZero-copy loadingにより、安全性だけでなく実用面でのパフォーマンスも大きく向上させている。
◈技術背景と意義
機械学習の初期は、モデルの重みデータを保存・共有する際にPythonの「pickle」がよく使われていた。しかしpickleには、データ読み込み時に悪意ある任意のコードを実行してしまうというセキュリティリスクがあった。Safetensorsはこれを防ぐために生まれた仕組みだ。100MBのハードリミットを設けたJSONヘッダーでメタデータを管理し、直後にrawのテンソルデータを配置するという意図的なシンプルさが特徴。悪意あるコードの実行を防ぐだけでなく、ディスクからメモリへ直接マッピングするゼロコピー読み込みや、必要な重みだけを読み込む遅延読み込み(Lazy loading)を実現している。
▸こんな人・用途に
Hugging Face Hubなどで公開されている数万のモデルを、安全にダウンロードして利用したい開発者
長期的な安定性とベンダー中立性を求め、Safetensorsの上にツールやフレームワークを構築する企業
コントリビューターとしてプロジェクトのガバナンスに参加したいOSSコミュニティメンバー
◆入手方法・リンク
SOURCE: Hugging Face (2026-04-08)
