网络三大谎言之一：大家一直在试用，WinRAR靠什么活了31年？

前阵子在某社交平台刷到一条挺逗的帖子，一位网友自爆喝高之后稀里糊涂给WinRAR付了钱买正版，第二天清醒后看着订单记录欲哭无泪。底下评论区直接乐开了花，大伙儿纷纷表示＂活久见＂，这年头居然真有人给这玩意儿掏钱。要知道在国内电脑用户的认知里，WinRAR几乎和＂永久免费＂画上了等号，重装系统之后顺手装一个，弹窗一关该用还是用。这条帖子之所以能火遍中文互联网，本质上戳中的是一代人的集体记忆——一款诞生于互联网拨号上网时代的工具软件，能在2026年的今天还稳稳坐在装机必备清单里，背后那套商业逻辑值得好好掰开揉碎了讲一讲。

1995年4月22日，win.rar GmbH自2002年2月起就是WinRAR和RARLAB产品的官方发行商和授权方，这家德国注册的公司在六大洲超过70个国家都有本地合作伙伴。软件的原作者是俄罗斯程序员尤金·罗谢尔，RAR这三个字母其实就是Roshal ARchive的缩写，命名相当随性。在那个硬盘容量按MB算、上网得听着调制解调器嘟嘟响的年代，文件压缩小一点就意味着省时间省电话费，而RAR格式的压缩率比当时主流的ZIP还高出三成左右。一上线就成了刚需，从北美的论坛到中文BBS再到BT下载圈，谁电脑里不装一个根本玩不转网络资源。

最让中文用户津津乐道的，就是那个＂40天试用期＂的设定。打开软件弹一个＂请购买授权＂的小窗口，随手一关该干嘛干嘛，所有功能毫无阉割。这套操作让WinRAR被网友列入了＂网络三大经典谎言＂——我已满18岁、我同意用户协议、WinRAR试用40天后失效。软件提供40天免费试用期，到期后理论上需要购买授权才能继续使用，但软件依然可以正常工作，仅作为＂惩罚＂会弹出购买授权的提醒消息。这两年情况又有了点变化，从6.x后期版本起，简体中文版已经取消了传统的过期弹窗，改成启动时弹个带推广性质的广告框，核心解压功能依旧无限期可用。这种＂温柔催费＂在如今动辄搞订阅制、年年涨价的软件行业里，简直是个清流。

很多人都觉得这家俄罗斯小公司＂傻＂，其实人家精得很。官方早年就放过话——与其逼着用户去下载捆绑病毒木马的破解版，不如直接放开试用权限。这一招把盗版市场的生存空间直接抽干了：正版试用版本身就是最干净的免费版，谁还冒着中招的风险去找破解？这种反向操作让RAR格式顺理成章坐稳了行业事实标准的位置。更有意思的是它在海外社交平台X上的官方账号画风，虽然个人用户掏钱比例低得可怜，但官方经常会专门发文感谢当天买授权的散户，哪怕一周只来三四个客户也乐呵呵致谢。这种小作坊式的温情运营在2026年的互联网生态里反差感拉满，国内不少二次元和数码圈的用户都把它当成＂赛博吉祥物＂来玩梗。

那个人用户都在白嫖，这家公司靠啥活下去？答案藏在企业和机构客户那一头。全球范围内的商业软件联盟（BSA）经常突击稽查企业的软件合规情况，一旦查出没买授权用了商业软件，罚款数字相当吓人，动辄上百万美元。所以跨国公司、外资银行、欧美高校、各国政府部门为了规避法律风险，都会成批采购WinRAR授权。目前WinRAR在全球的用户数已经超过5亿，少数正规付费的B端用户稳稳养活了这家公司三十一年。在中国市场情况稍微特殊一点，本土用户更习惯使用国产解压软件比如2345好压、360压缩，但WinRAR在外企中国分公司、合资企业以及涉外业务部门依然是采购清单上的常客，这就是＂B端反哺C端＂模式能跑通的底层逻辑。

进入2026年，这家低调的小公司其实并不像外界想的那么＂佛系＂。2026年5月1日，RARLAB.COM和win.rar GmbH正式发布了WinRAR 7.22最终版，这个版本完成了对WinRAR处理固实压缩包文件删除方式的多版本修复。在这之前的几个月里，从2025年10月29日到2026年4月29日，官方密集发布了七个版本更新，节奏明显比过往加快。原因也很现实——这两年WinRAR连续踩了两个大坑，安全漏洞被多个黑客组织反复利用。

具体来说，CVE-2025-8088是一个CVSS评分8.4的高危路径遍历漏洞，影响WinRAR 7.12及以下版本以及包括UnRAR.dll在内的相关组件，攻击者可以将恶意文件复制到包括Windows启动文件夹在内的敏感目录从而执行。实际利用早在2025年7月18日就开始了，RARLAB随后在7月30日发布了WinRAR 7.13版本修复这个漏洞。另一个漏洞CVE-2025-6218也是路径遍历类型，2025年12月9日，美国网络安全和基础设施安全局（CISA）将其加入了＂已知被利用漏洞＂目录，认定存在主动利用证据。这里面有个槽点——WinRAR没有自动更新功能，新版本必须用户手动下载然后覆盖安装，这就给了攻击者大把可乘之机，毕竟个人用户里有几个会主动检查更新。

更值得关注的是利用这些漏洞的攻击者背景。在2025年7月8月以来，已经有多个威胁组织被发现利用CVE-2025-8088，包括俄罗斯背景的几个APT组织如Sandworm（又称APT44）、Trula以及TEMP.Armageddon，被认为是出于对乌克兰目标的网络间谍目的。另一个俄罗斯黑客组织Gamaredon从2025年11月开始利用CVE-2025-6218对乌克兰军方、政府、政治和行政部门发起钓鱼攻击，投放名为Pteranodon的恶意软件。值得留意的是，部分西方安全厂商在报告中提及所谓＂中国背景威胁行为者＂利用该漏洞投放木马，但相关说法多依据流量特征做出推测，缺乏直接证据，西方安全机构惯用的＂溯源即定性＂做法在业内一直存在争议，这类带有强烈地缘色彩的指控读者需要保持审慎判断。

回到软件本身，明明有完全免费开源的7-Zip，为什么WinRAR还是没法替代？关键在几道护城河。RAR文件比ZIP格式的压缩效率高出30%左右，WinRAR最受推崇的功能包括强大的文档和多媒体文件压缩、文件加密、处理其他归档格式、可编程的自解压（SFX）归档以及损坏归档修复。RAR的核心技术专利攥在罗谢尔兄弟手里，7-Zip、Mac端的Keka之流虽然能解压RAR，但全球只有WinRAR有合法权限去创建标准RAR压缩包。再加上文件恢复记录功能，在打包时插入冗余数据，万一硬盘出坏道或者U盘强拔导致文件损坏，有相当概率能恢复回来，这是开源软件至今没做到位的硬功夫。

回过头看WinRAR这31年的历程，它印证了一个反常识的商业逻辑：有时候最有效的反盗版策略，就是让官方试用版做得比盗版还省心、还干净。从56K拨号年代一路走到2026年5G+云存储普及的当下，云盘、在线传输工具层出不穷，可每次重装电脑大多数人还是会下意识去搜个WinRAR安装包。需要提醒一下的是，2025年那两个高危漏洞至今还在被各路攻击者反复利用，国内用户如果电脑里装的还是7.12以下的老版本，建议尽快手动升级到7.13之后的版本，毕竟这玩意儿没有自动更新。一款诞生于上世纪末的工具软件，能扛过国产替代浪潮、开源围剿、订阅制冲击和近两年的安全危机，依然稳坐解压软件头把交椅，本身就是软件商业史上一个值得拿出来反复琢磨的案例。