L'equivoco qui è che lo sfruttamento non è sempre una parte di un'infezione. Quando un sistema operativo viene sottoposto a patch, viene protetto da un bug che potrebbe consentire a un utente malintenzionato di infettare un computer. Ma un utente malintenzionato non ha bisogno di usare un bug per ottenere l'accesso, e se usa un bug non è necessariamente parte del sistema operativo (potrebbe trovarsi in un servizio, browser, app installato). Pensa all'utilizzo dell'ingegneria sociale, utilizzando una password ottenuta in qualche modo o persino utilizzando un exploit del browser che è agnostico alla versione os in quanto sfrutti solo il processo del browser.
Gli scanner antivirus aggiungono un altro livello di protezione, se il malware è stato installato utilizzando credenziali, social engineering o forse anche un giorno zero, se è noto lo fermerai comunque.
Dato che la sicurezza di un concetto è sempre costruita a strati, supponendo che più ostacoli metterai gli attaccanti avrà un tempo più difficile, il che presumendo che tu non sia un obiettivo di valore sufficientemente elevato ti renderà indesiderabile o praticamente sicuro.