Meu palpite é que a maioria desses "testes" é executada por organizações de marketing, e não por organizações de teste.
No entanto, eu não sei como você testaria o AV de maneira objetiva - mesmo um que reconheça 100% das ameaças conhecidas falhará na próxima nova ameaça. E se houvesse um teste objetivo aceito, eventualmente os produtos seriam projetados para passar no teste, e não necessariamente para protegê-lo.