Szary kapelusz to specjalista ds. Bezpieczeństwa komputerowego, który działa jako haker w celu penetracji bezpieczeństwa określonego systemu lub sieci.Ten rodzaj hakera jest zwykle kimś, kto nie prowadzi takiej aktywności, aby być złośliwym, ale zamiast tego wykorzystuje te ataki jako badania.Jeśli w wadach znajduje się w bezpieczeństwie sieci, ten typ hakera zwykle informuje właścicieli tej sieci lub systemu, aby poinstruowali ich o charakterze wady.Szary kapelusz nie jest kimś upoważnionym do próby włamania się do systemu, aby jego działalność mogła być nielegalna.

Termin „szary kapelusz” wynika z użycia terminów „czarny kapelusz” i „biały kapelusz”w społeczności bezpieczeństwa komputerowego i hakerów.Wszystkie trzy terminy odnoszą się do rodzaju hakera, osoby, która korzysta z programów komputerowych i różnych metod próbowania obejścia bezpieczeństwa sieci lub systemu komputerowego.Biały kapelusz to haker zatrudniony przez firmę lub organizację i upoważniony do próby włamania się do systemu tej grupy w celu poszukiwania wad lub zagrożeń bezpieczeństwa.W przeciwieństwie do tego, haker z czarnym kapeluszem to ktoś, kto hakuje systemy bez upoważnienia i ze złośliwym zamiarem.

Grey Hat to haker, który spada gdzieś między tymi dwiema grupami.Oznacza to, że zazwyczaj hakuje systemy, do których nie jest upoważniony do dostępu, co sprawia, że takie hakowanie jest potencjalnie nielegalne.Jeśli haker z szarej kapeluszem znajdzie wadę bezpieczeństwa lub podobny problem, to on lub ona zwykle powiadamia firmę lub organizację o tej wadzie, aby zabezpieczenia mogły zostać ulepszone.Dokładny sposób, w jaki haker powiadamia grupę, może się jednak różnić, ponieważ niektóre firmy mogą realizować działania prawne przeciwko hakerowi z szarej kapeluszu.

Ten rodzaj powiadomienia zwykle powoduje, że haker z szarej czapki wybierający w spektrum pełnego ujawnienia i prywatnegoużywać.Pełne ujawnienie odnosi się do powiadomienia ogółu społeczeństwa o wadach bezpieczeństwa, w tym zarówno potencjalnych hakerów, jak i firmy, która ma wadę.W przeciwieństwie do tego, prywatne użycie obejmowałyby hakerów z Czarnych Hatów, którzy znajdą wadę, a następnie nie powiadomili o tym firmy, aby zamiast tego wykorzystać informacje do prywatnych, często złośliwych celów.Haker z szarej kapeluszem zazwyczaj decyduje się działać w sposób między tymi dwiema opcjami, powiadamiając organizację o wadach, które ma, zanim przekazuje informacje do ogółu społeczeństwa.