<p>This conversation worries me.  The security community has shown that safety isn't something you can add to a powerful tool.  With great power comes great expressivity, and correspondingly more difficulty reasoning about it.  Not to mention reasoning about yhe implementation.  JSON is probably secure against code-execution exploits, but only probably.</p>

<p>When you put something in the stdlib and call it "safe", even with caveats, people will make even more brazen mistakes than with a documented-unsafe tool like pickle.</p>
<p>Dustin</p>