模型安全。

Pytorch 默认使用 pickle 意味着在很长一段时间内，每个使用该格式的模型在纯粹加载模型时都可能执行意外代码。

Python 的 pickle 页面上有一个很大的红色警告链接，但很长一段时间以来，这都被社区忽略了。现在人工智能/机器学习的应用越来越广泛，我们需要切换到其他格式。

HuggingFace 正在引领这项工作，创建了一种包含纯数据的新格式 (safetensors)，并缓慢但稳步地推动所有库默认使用它。这种转变是有意放慢速度的，目的是为了尽可能减少对用户的破坏性影响。

TGI 2.0

自从 TGI 2.0 发布以来，我们借此主要版本升级的机会，打破了这些 pytorch 模型的向后兼容性（因为对于任何部署它们的人来说，它们都是巨大的安全风险）。

从现在开始，如果没有 `--trust-remote-code` 标志或环境变量 `TRUST_REMOTE_CODE=true`，TGI 将不会自动转换 pickle 文件。此标志已用于社区定义的推理代码，因此非常代表您对模型提供商的信任程度。

如果您想使用使用 pickle 的模型，但仍然不想完全信任作者，我们建议在为此创建的 space 上进行转换。

这个 space 将在原始模型上创建一个 PR，您可以直接使用它，而无需考虑原始作者的合并状态。只需使用

docker run .... --revision refs/pr/#ID # Or use REVISION=refs/pr/#ID in the environment