Pickle為機器學習模型中被廣泛使用的序列化格式，也是Python開源機器學習框架PyTorch模型權重的預設格式。簡單地說，Python中的Pickle模組可以將一個Python物件轉成二進位（序列），也能自二進位重建原始物件（反序列），其序列化時所產生的二進位檔案也稱為Pickle。

儘管被廣泛使用，但Python明文警告Pickle並不安全，因為它可能允許駭客打造惡意的資料，以在反序列期間執行任意程式，並強力建議不要反序列任何來自不明來源或可能已被竄改的資料。

總之，Wiz成功地上傳了惡意模型，再藉由容器逃逸技術來突破租戶限制，得以存取Hugging Face平臺上其它客戶所存放的模型。

另一方面，為了緩解Wiz所發現的安全風險，Hugging Face已與微軟合作打造Picklescan以掃描惡意的Pickle檔案，也推動可用來取代Pickle檔案的Safetensors。根據Wiz的分析，Hugging Face平臺支援多種AI模型格式，當中最普及的即是Pickle與Safetensors。

Hugging Face指出，即使Pickle檔案存在許多安全漏洞，但AI與機器學習社群依然經常使用Pickle，有眾多的例子都是用來進行低風險的測試目的，也讓Pickle更為研究人員所熟悉及利用，作為開源的AI平臺，Hugging Face並不打算完全封鎖Pickle檔案，但也不想毫無作為，決定尋求一個既允許Pickle又可減緩Pickle風險的方法。

其針對Pickle的緩解措施包括建立詳述相關風險的文件，開發自動掃描工具，藉由掃描工具標註含有安全漏洞的模型並提出明確的警告，以Safetensors來取代Pickle，將Safetensors視為該平臺的一等公民，以保護可能不了解Pickle風險的社群成員。