本文首次从系统角度对移动应用中跨端人脸验证系统（XFVS）的安全性进行了大规模测量研究。XFVS 将人脸验证功能拆分为两端：移动端负责采集照片或视频，服务器端负责验证。以往研究多关注机器学习模型对抗攻击的鲁棒性，但忽视了验证流程的设计与实现安全。为此，作者设计并实现半自动化系统 XFVSChecker，用于检测移动应用中的 XFVS，并检查其是否满足四项安全属性。评估发现，大多数现有 XFVS 应用（包括下载量达数十亿的应用）至少存在一类安全缺陷，可被四种类型的攻击利用。这些攻击仅需简单的先决条件（如受害者的一张照片），即可导致严重安全风险，包括完全账户接管、身份欺诈和财务损失。研究结果获得了14个中国国家漏洞数据库（CNVD）编号，其中CNVD-2021-86899被评为2021年度最有价值漏洞。本文适合移动安全研究员、应用开发者及安全评估人员阅读。

本文首次对资源公钥基础设施（RPKI）规范（RFC）中的缺陷与实现和实际部署中的漏洞之间的因果关系进行了全面分析。RPKI通过证书、路由起源授权（ROA）、清单和证书撤销列表（CRL）等机制保障互联网路由系统的安全，其规范分布在数十个RFC中。研究揭示了50个RPKI RFC中模糊、冲突或未明确说明的要求如何导致不一致的实现行为和操作故障。方法结合了差分模糊测试（对主要RPKI实现）、全网爬取和验证日志分析，从而将实际漏洞追溯至有缺陷的RFC要求。发现了61个此前未记录的验证行为不一致性，其中23个直接归因于RFC缺陷，并识别出两个新漏洞（已分配CVE）。研究表明，这些问题并非孤立的编码错误，而是RPKI标准编写、解释和实施方式中的系统性问题。为缓解威胁，提出了具体建议并引入了一个新型警报服务，用于监控和报告RPKI部署中的实时不一致性。数据集、代码和工具已开源，支持可重复性和进一步研究。