Khi file model không còn là "bom hẹn giờ

Safetensors vừa gia nhập PyTorch Foundation — chuyện gì đang xảy ra với cách cộng đồng ML chia sẻ model, và bạn cần làm gì?

Bụi Wire

2026-04-10

Khi file model không còn là "bom hẹn giờ"

Thử tưởng tượng thế này

Giả sử bạn là tech lead, đang build pipeline inference cho sản phẩm. Thứ Sáu cuối ngày, một bạn intern hào hứng ping: "Anh ơi, em tìm được model mới trên Hub, accuracy cao hơn hẳn, em đã load thử rồi!"

Bạn hỏi: "Format gì?"

"Pickle ạ."

Đó là lúc bạn cần một ly cà phê thật đậm. Bởi vì pickle — format lưu model weights phổ biến một thời — có khả năng thực thi code tùy ý khi deserialize. Nói bản chất thật sự: tải file pickle từ nguồn không tin cậy giống như nhận một kiện hàng lạ rồi mở toang mà không kiểm tra — có thể là quà, mà cũng có thể là thứ bạn không muốn có trong hệ thống production.

Trước khi có safetensors — thời "xây nhà không giấy phép"

Hồi ML còn là sân chơi nhỏ, mọi người chia sẻ model qua pickle mà không nghĩ nhiều. Giống như xây nhà ở vùng ngoại ô — ai cũng tự xây, không ai hỏi giấy phép, và đa phần cũng chẳng sao.

Nhưng khi open-source ML bùng nổ, Hub có hàng trăm nghìn model từ đủ mọi nguồn, thì chuyện "tự xây không phép" trở thành rủi ro hệ thống. Một model chứa mã độc trong file pickle có thể chạy bất kỳ lệnh nào trên máy bạn ngay lúc bạn load nó. Không cần bạn click "đồng ý", không có warning popup.

Ví dụ cụ thể: Giả sử team bạn 5 người, mỗi người thử 3–4 model mỗi tuần từ Hub. Mỗi lần load một file pickle, đó là một lần bạn tin tưởng hoàn toàn vào người upload. Nhân lên cả năm — đó là hàng trăm lần "mở cửa không nhìn ai gõ".

Sau khi có safetensors — bản thiết kế có "quy chuẩn"

Safetensors ra đời từ một nhu cầu rất thực: lưu model weights mà không thể thực thi code tùy ý. Thiết kế của nó đơn giản đến mức đẹp:

JSON header (giới hạn cứng 100MB) mô tả metadata của tensor
Phía sau là raw tensor data — không wrapper, không serialization logic
Hỗ trợ zero-copy loading: map tensor trực tiếp từ disk vào memory
Lazy loading: đọc từng weight riêng lẻ mà không cần deserialize toàn bộ checkpoint

Quay lại ẩn dụ xây dựng: nếu pickle là "xây bằng gì cũng được, kể cả vật liệu dễ cháy", thì safetensors là bản thiết kế có quy chuẩn phòng cháy — cấu trúc rõ ràng, vật liệu kiểm định, không có ngóc ngách để giấu "hàng lậu".

Chuyện mới: safetensors "chuyển hộ khẩu"

Đến đây mới là phần đáng bàn. Safetensors vừa chính thức gia nhập PyTorch Foundation — nằm dưới Linux Foundation, cùng nhà với DeepSpeed, vLLM, Ray, và chính PyTorch.

Tại sao chuyện này quan trọng? Vì trước đây, dù safetensors là open-source, nó vẫn là project do Hugging Face khởi xướng và dẫn dắt. Giờ thì trademark, repository, và governance đều thuộc về Linux Foundation — một tổ chức trung lập, không thuộc bất kỳ vendor nào.

Hình dung thế này: bạn ở chung cư, có một hàng xóm tốt bụng tự lắp hệ thống phòng cháy cho cả tầng. Ai cũng dùng, ai cũng khen. Nhưng nếu bạn ấy chuyển đi, hoặc đổi ý, thì sao? Giờ hệ thống đó được bàn giao cho ban quản lý toà nhà — mọi cư dân đều có tiếng nói, không phụ thuộc một cá nhân.

Đối với developer, điều này dẫn tới:

Governance mở hơn: nhiều công ty và contributor cùng quyết định hướng phát triển
Ổn định dài hạn: không lo project bị abandon hay bị lock-in vào một vendor
Tích hợp sâu hơn với PyTorch ecosystem: cùng nhà rồi thì việc align format, tooling sẽ mượt hơn nhiều

Thử ngay chiều nay

Nếu team bạn vẫn đang dùng pickle hoặc .bin format, đây là lúc chuyển:

Bước 1 — Kiểm tra format hiện tại

import os
model_dir = "./my_model"
for f in os.listdir(model_dir):
    print(f"{f} — {os.path.splitext(f)[1]}")

Bước 2 — Convert sang safetensors

from safetensors.torch import save_file
import torch

state_dict = torch.load("model.bin", map_location="cpu")
save_file(state_dict, "model.safetensors")

Bước 3 — Cập nhật pipeline load

from safetensors.torch import load_file

state_dict = load_file("model.safetensors")
model.load_state_dict(state_dict)

Bước 4 (bonus): Nếu đang dùng transformers, chỉ cần một dòng:

model = AutoModel.from_pretrained("my_model", use_safetensors=True)

Toàn bộ quá trình mất chừng 20–30 phút cho một model, kể cả thời gian pha cà phê.

Cái bẫy mà team nào cũng suýt dính

Mình thấy một kịch bản lặp đi lặp lại: team chuyển sang safetensors cho model chính, nhưng quên mất mấy script cũ vẫn đang gọi torch.load() lên file pickle từ cache. Giống như lắp khoá vân tay cho cửa chính nhưng cửa sau vẫn để then cài — kẻ xấu không cần vào cửa trước.

Checklist nhanh trước khi yên tâm:

grep -r "torch.load" . toàn bộ codebase — đảm bảo không còn chỗ nào load pickle từ nguồn ngoài
Nếu dùng CI/CD, thêm một bước check: reject pipeline nếu phát hiện file .pkl hoặc .bin không rõ nguồn
Khi tải model từ Hub: ưu tiên repo nào đã có file .safetensors — đa phần model phổ biến hiện tại đều hỗ trợ

Một dòng để nhớ

Safetensors gia nhập PyTorch Foundation không phải tin giật gân — đó là dấu hiệu cộng đồng ML đang "trưởng thành". Từ chỗ ai muốn chia sẻ model kiểu gì cũng được, giờ có chuẩn chung, governance trung lập, an ninh mặc định. Như một khu đô thị cuối cùng cũng có quy hoạch — không phải để cấm xây, mà để ai xây cũng yên tâm nhà bên cạnh không sập vào mình.

---

Bụi Wire — nghiện đọc release notes lúc 2 giờ sáng

Nguồn tham khảo

Safetensors is Joining the PyTorch Foundation