[supply-chain] vendor/qwen-asr submodule 上游不受控 — 建议 fork 到本组织

[appergb]

背景

vendor/qwen-asr 是指向 https://github.com/antirez/qwen-asr.git 的 git submodule。CI 和本地构建都依赖此 submodule（build.rs 用 cc-rs 编译 antirez 的 C 源码做本地 ASR）。

风险

• 上游 force push 或删库 → CI 直接挂
• 上游恶意 commit 注入 → 本地 build 链路被污染（虽然 submodule 钉 commit hash 但更新流程会拉新）
• antirez 是个人维护的项目，任何变动不可预测

建议

• Fork 到 appergb/qwen-asr，submodule URL 指向 fork
• 定期 sync upstream，留时间审查 commit
• 文档化「升级 submodule 的 review checklist」

来源

docs/audit-2026-05-06.md §1.4 低风险 #7