ExpressVPN 成立于 2009 年,注册地为英属维尔京群岛,该地区无强制数据留存法律。2021 年 9 月,Kape Technologies 以 9.36 亿美元收购了该公司,创下 VPN 行业最大收购纪录。Kape 的历史是评估 ExpressVPN 的核心因素:该公司于 2011 年至 2018 年间以 Crossrider 的名义运营,旗下平台可向浏览器扩展程序注入广告。赛门铁克(Symantec)曾将 Crossrider 软件标记为恶意软件,谷歌也认定其分发了潜在有害应用程序。Kape 的大股东 Teddy Sagi 曾于上世纪 90 年代因证券欺诈服刑。此外,Kape 还拥有 CyberGhost、PIA、ZenMate,以及评测网站 vpnMentor 和 WizCase——而这些评测网站如今均将 Kape 旗下的 VPN 产品列于榜单首位。
Daniel Gericke 事件则进一步加剧了外界的疑虑。Gericke 于 2019 年 12 月被聘为首席信息官,此前曾参与 Project Raven——一项由阿联酋政府主导、利用零点击漏洞攻击美国公民、外国记者及人权活动人士的监控行动。他依据延期起诉协议被美国司法部罚款 33.5 万美元。ExpressVPN 承认在聘用他之前已知晓相关关键事实,并辩称其对抗性背景有助于提升防御性安全能力。爱德华·斯诺登公开质疑了该公司的决策判断。Gericke 于 2023 年 7 月离职。
在上述所有权背景之下,ExpressVPN 的技术安全基础设施确实令人印象深刻。TrustedServer 完全运行于内存中,不使用任何硬盘——每次重启均会加载经密码学签名的全新操作系统镜像,服务器每周进行升级并清除所有历史数据。该架构已通过普华永道(2019 年)、Cure53(2022 年)及毕马威(2022、2023、2025 年)的审计。零日志政策在 2017 年得到现实验证:土耳其当局在一起谋杀调查中查扣了一台物理服务器,但未获取任何用户数据。
自研的 Lightway 协议已在 GitHub 上开源,并于 2025 年从 C 语言重写为 Rust 语言,以提升内存安全性。同年推出的 Lightway Turbo 采用多通道隧道技术与内核级数据通道卸载,在 Windows 上最高可实现 1,479 Mbps 的传输速度——但目前仅限 Windows 平台使用。标准 Lightway 在独立测试中可达 200–300 Mbps,具备竞争力,但在大多数正面对比中仍慢于 NordVPN 的 NordLynx。
采用 ML-KEM(NIST 标准)的后量子加密默认部署于 Lightway 和 WireGuard 两种协议,使 ExpressVPN 成为率先在多个协议上推出后量子防护的服务商之一。WireGuard 支持与后量子集成于 2025 年 8 月同步推出。
服务器网络覆盖 105 个以上国家、160 个以上地点,共计 3,000 余台服务器。ExpressVPN 可稳定突破中国、伊朗、阿联酋、俄罗斯及沙特阿拉伯的网络审查,这是许多竞争对手所欠缺的关键能力。流媒体解锁能力持续居行业前列,可稳定访问 20 余个 Netflix 资源库,以及 Disney+、Prime Video、BBC iPlayer、Hulu、HBO Max 和 DAZN。
一项重大安全漏洞是 Windows 分隧道 DNS 泄漏问题(CVE-2024-25728),该漏洞存在于 2022 年 5 月至 2024 年 2 月期间,长达 21 个月,期间在启用分隧道时 DNS 请求会绕过 VPN 隧道。ExpressVPN 估计受影响的 Windows 用户不足 1%。事后应对措施包括两份根因分析报告、委托 Nettitude 进行渗透测试,以及在修复完成前临时禁用分隧道功能。
2025 年 9 月,ExpressVPN 对定价结构进行了调整,推出三个套餐层级:基础版(2 年套餐每月 2.44 美元,支持 10 台设备同时连接)、高级版(每月 4.49 美元,新增密码管理器和身份监控功能)以及专业版(每月 7.49 美元,新增专属 IP)。月付价格仍是行业最高,为每月 12.99 美元。支付方式包括信用卡、PayPal、比特币、Apple Pay 和 Google Pay,并提供 30 天退款保证。
值得关注的缺失功能包括:端口转发(所有服务器均不支持)、多跳路由,以及开源客户端应用——仅 Lightway 核心库对外公开。iOS 端不支持分隧道功能。在 ExpressVPN 的高端定价体系下,这些缺失更加明显。
2022 年 6 月,ExpressVPN 主动撤出印度所有物理服务器,而非遵从印度计算机应急响应小组(CERT-In)的数据留存要求,转而通过位于新加坡和英国的虚拟服务器提供印度 IP 地址。透明度报告显示,2025 年共收到 529 项政府数据请求及 244 万条 DMCA 投诉——但在任何情况下均未披露任何用户数据。
该公司已获得 ISO 27001、9001 及 18295 认证,并计划于 2026 年取得 ISO 27701(隐私)和 ISO 42001(人工智能)认证。2025 年 11 月推出的 EventVPN 免费版基于高端基础设施运行,具备后量子保护和零日志特性,与大多数免费 VPN 产品形成鲜明对比。