何が起きたか
Cogent Security(Greylock PartnersおよびBain Capital Venturesが支援)は、2026年5月27日にZero Day ResponseとAutonomous Remediationをローンチし、69,159のCVEを分析した研究レポートを発表しました。Zero Day Responseは公開開示から数分以内に、CVE前のGitHub PoC開示を含む曝露を特定します。スキャナシグネチャを待つ必要がありません。Autonomous Remediationは修復計画を構築し、プリフライト影響評価を実行し、修復を確認します。Cogentの研究により、AI支援のエクスプロイト開発により、平均time-to-exploitが125.3日(2025年1月)からわずか0.5日(2026年4月)に短縮されたことが判明しました。重大度の高いCVEの62%は、主要なスキャナがシグネチャ検出を提供する前に既にアクティブなエクスプロイトを持っていました。また、2025年1月以降のすべてのCVEの54%は、Tenable、Qualys、またはRapid7からのスキャナカバレッジが全くありませんでした。
なぜ重要か
0.5日のtime-to-exploit数値は、月次または週次のスキャンサイクル脆弱性管理プログラムを根本的に無効にします。この研究は、構造的なスキャナ検出ギャップ——顧客側のプロセス問題ではなく——を実証しており、組織は最も危険なエクスプロイテーション期間中に盲目のままです。ツールローンチと組み合わせると、これは新しい製品カテゴリを検証します:agenticで署名前の脆弱性対応。Mythos クラスのAIが6~12か月以内に新しいフロアを設定するという発見は、企業が今すぐシグネチャ依存のワークフローから移行する緊急性を高めます。
適用範囲
月次または週次のスキャンサイクルで脆弱性管理を実行している組織は、この研究をプログラムの再評価を促すものとして扱うべきです。Fortune 500のフットプリントとAI対応インフラストラクチャ(AI API、モデルサービング、エージェントランタイム)を持つ大規模企業は、Cogentプラットフォームの主な対象者です。CISOは、VM プログラムが CVE 開示とシグネチャリリース間の重要な期間に対する「スキャナフリー」検出パスを持っているかどうかを質問すべきです。