Python 的原生序列化协议 pickle 虽然功能强大，但由于存在已知的安全风险，在处理不可信数据时非常不安全。它常被用于保存机器学习模型等场景，但攻击者可能通过构造恶意的 pickle 数据来执行任意代码。开发者有时会通过限制反序列化时的导入或使用静态/动态分析工具来缓解风险，但这些方法容易出错，且高度依赖对 Pickle 虚拟机（PVM）操作码的准确解释。Python 的三个原生 PVM 模块（pickle、cPickle、_pickle）之间存在实现差异，这些差异会导致错误检测恶意负载，从而削弱现有防御。为了高效且可扩展地识别这些差异，本文提出了 PickleFuzzer，一种基于生成的定制化模糊测试工具。PickleFuzzer 通过语法生成 pickle 对象，将其传递给每个实现，并检测抛出的异常或关键内部状态的变化。它通过比较每个测试实现的执行行为来确定差异，而不需要依赖于规范派生的 oracle。PickleFuzzer 发现了 14 个新的差异，其中 4 个是关键的，可用于绕过 Hugging Face 等流行模型托管平台上部署的安全扫描工具。作者向 Python 软件基金会披露了所有发现，并将安全问题报告给漏洞赏金平台，获得了 750 美元奖励。该工作证明了差分测试是识别重要 pickle 实现中安全相关差异的有效方法，并为通过更定向的模糊测试发现更深层的 pickle 漏洞提供了有前景的未来方向。