Für seine Auswertung zog Cogent 69.159 CVEs aus öffentlichen Datenbanken heran, darunter die National Vulnerability Database und MITRE CVE. Der Hauptdatensatz umfasste 57.860 in den Jahren 2025 und 2026 veröffentlichte CVEs, für die Cogent die Veröffentlichungszeitpunkte erfasste. Zusätzlich verglichen die Forscher die Erscheinungsdaten der Erkennungssignaturen der drei größten kommerziellen Scan-Anbieter: Tenable, Qualys und Rapid7.

Das Ergebnis: Bei 83,2 Prozent der kritischen Schwachstellen entstand eine von Cogent als „Sichtbarkeitslücke" bezeichnete Phase für die Verteidiger. Mehr als die Hälfte der kritischen CVEs – 55,7 Prozent – erhielt überhaupt keine Erkennung durch die großen Scanner. Von den übrigen Schwachstellen, für die Signaturen erschienen, kursierten bei 62 Prozent bereits Exploits, bevor eine Erkennung verfügbar war.

Laut Sng liegen diese Lücken nicht an zu langsamen Scan-Zyklen der Unternehmen, sondern an den Erkennungsfähigkeiten der untersuchten Anbieter. So fehlten 54 Prozent aller seit Januar 2025 veröffentlichten CVEs Erkennungssignaturen von einem dieser Anbieter. Auch die Reaktionszeiten unterschieden sich: Die mittlere Erkennungsverzögerung nach Veröffentlichung lag bei 0,1 Tagen für Tenable, 2,9 Tagen für Qualys und 5,1 Tagen für Rapid7. Kritische Schwachstellen wurden besonders häufig ausgenutzt, bevor Signaturen verfügbar waren – betroffen waren 62,5 Prozent der kritischen CVEs bei Tenable, 64,5 Prozent bei Qualys und 73,5 Prozent bei Rapid7.

Eric Doerr, Produktchef bei Tenable, hielt der Untersuchung entgegen, dass nicht jede Schwachstelle aktiv ausgenutzt werde oder dasselbe Risiko berge; Tenable helfe Kunden, die wirklich relevanten Risiken zu priorisieren und zu beheben. Ähnlich argumentiert Saeed Abbassi, Leiter der Qualys Research Threat Unit: Qualys erstelle bewusst nicht für jede CVE eine Erkennung, sondern setze auf risiko- und anwendungsorientierte, belastbare Erkennungen. Rapid7 reagierte zunächst nicht auf eine Anfrage von Dark Reading.

Sng verweist zudem auf Anthropics Claude Mythos, das „funktionierende Exploits auf dem Niveau eines erfahrenen Sicherheitsforschers" entwickeln könne. Mehrere Forscher gingen davon aus, dass Fähigkeiten dieser Klasse in sechs bis zwölf Monaten breit verfügbar seien. Dann werde die gemessene Verdichtung der Exploit-Geschwindigkeit nicht die Obergrenze, sondern der Ausgangspunkt sein.

Als Gegenstrategie empfiehlt Cogent, den Software-Bestand kontinuierlich zu erfassen und ihn im Moment der Veröffentlichung mit neuen Meldungen abzugleichen – die einzige wirksame Erkennungsmethode, solange noch keine Scanner-Signatur existiert. Sng rät zudem zu einem parallelen Erkennungspfad aus Software-Inventardaten, dem Abgleich von Software-Stücklisten (SBOM) und Bedrohungsdaten-Feeds, der betroffene Systeme innerhalb von Minuten nach einer Veröffentlichung sichtbar machen kann. Scanner blieben das richtige Werkzeug, um Erkennung im großen Maßstab zu bestätigen und Behebungen zu prüfen, könnten aber „nicht mehr der Startpunkt der Reaktion sein".