Eu fiz um pouco de leitura sobre este tópico e parece que a resposta simples é: é um problema. ARIN atribui endereços IP e números AS às organizações, mas não atribui endereços IP aos números AS. Parece que a organização é livre para fazer o que quiser, até mesmo permitir que outra organização use o endereço IP em seu AS ou usá-lo em qualquer número AS atribuído à organização à qual o endereço IP pertence. Como verificar a autenticidade da permissão de um IP a ser usado por um AS, e o próprio AS é o problema.
RPKI é uma tentativa de melhorar a situação, mas sua adoção ainda é muito baixa.
Eu estou supondo que o ARIN e o outro RIR não querem se envolver na publicação de mapeamentos de números de IP para ASN porque são muitos dados e eles não querem estar no negócio de servir e gerenciar todos os dados. . Eu acho que o RPKI permite que alguns dos dados sejam distribuídos, de forma hierárquica semelhante ao DNS, tornando o sistema mais escalável.