模型安全。

Pytorch 預設使用 pickle，這意味著在很長一段時間內，*所有*使用該格式的模型在純粹載入模型時都可能執行意外程式碼。

Python 的 pickle 頁面上有一個很大的紅色警告連結，但社群在很長一段時間內都忽略了它。現在 AI/ML 得到了更廣泛的使用，我們需要擺脫這種格式。

HuggingFace 在這方面發揮了主導作用，它建立了一種包含純資料的新格式（safetensors），並正在緩慢但穩步地將所有庫預設使用它。此舉是故意的緩慢，以便儘可能減少對使用者造成破壞性更改的影響。

TGI 2.0

自 TGI 2.0 釋出以來，我們藉此主要版本升級的機會，打破了對這些 pytorch 模型的向後相容性（因為它們對部署它們的人來說存在巨大的安全風險）。

從現在起，TGI 將不會自動轉換 pickle 檔案，除非在環境變數中設定了 --trust-remote-code 標誌或 TRUST_REMOTE_CODE=true。此標誌已用於社群定義的推理程式碼，因此它很好地代表了您對模型提供商的信任程度。

如果您想使用使用 pickle 的模型，但仍不想完全信任作者，我們建議您使用我們為此目的製作的空間進行轉換。

https://huggingface.co/spaces/safetensors/convert

這個空間將對原始模型建立一個 PR，無論原始作者的合併狀態如何，您都可以直接使用它。只需使用

docker run .... --revision refs/pr/#ID # Or use REVISION=refs/pr/#ID in the environment