Szary kapelusz to specjalista ds. bezpieczeństwa komputerowego, który działa jako haker, próbując przeniknąć zabezpieczenia określonego systemu lub sieci. Ten typ hakera to zazwyczaj ktoś, kto nie prowadzi takiej działalności w celu wykrycia złośliwości, ale zamiast tego wykorzystuje te ataki jako badania. Jeśli w zabezpieczeniach sieci zostanie wykryta usterka, haker tego typu zwykle informuje właścicieli tej sieci lub systemu, aby poinstruować ich o naturze usterki. Szary kapelusz nie jest jednak osobą upoważnioną do włamywania się do systemu, więc jego działania mogą być nielegalne.
Termin „szary kapelusz” wywodzi się z używania terminów „czarny kapelusz” i „biały kapelusz” w społeczności zajmującej się bezpieczeństwem komputerowym i hakerami. Wszystkie trzy terminy odnoszą się do typu hakera, osoby, która używa programów komputerowych i różnych metod w celu obejścia zabezpieczeń sieci lub systemu komputerowego. Biały kapelusz to haker zatrudniony przez firmę lub organizację i upoważniony do prób włamania się do systemu tej grupy w celu znalezienia wad lub zagrożeń bezpieczeństwa. W przeciwieństwie do tego, haker w czarnym kapeluszu to ktoś, kto włamuje się do systemów bez autoryzacji i w złych zamiarach.
Szary kapelusz to haker, który mieści się gdzieś pomiędzy tymi dwiema grupami. Oznacza to, że zazwyczaj włamuje się do systemów, do których nie jest upoważniony, co sprawia, że takie hakowanie jest potencjalnie nielegalne. Jeśli haker w szarym kapeluszu znajdzie lukę w zabezpieczeniach lub podobny problem, zazwyczaj powiadamia o tym firmę lub organizację, aby można było poprawić zabezpieczenia. Dokładny sposób, w jaki haker powiadamia grupę, może się jednak różnić, ponieważ niektóre firmy mogą podejmować kroki prawne przeciwko hakerowi w szarym kapeluszu.
Ten rodzaj powiadomienia zwykle powoduje, że haker szarego kapelusza wybiera w spektrum pełnego ujawnienia i prywatnego użytku. Pełne ujawnienie odnosi się do powiadomienia opinii publicznej o luce bezpieczeństwa, w tym zarówno potencjalnych hakerów, jak i firmy, która ją posiada. W przeciwieństwie do tego, do użytku prywatnego należą hakerzy z czarnymi kapeluszami, którzy znajdą lukę, a następnie nie powiadomią o tym firmy, aby zamiast tego wykorzystać informacje do prywatnych, często złośliwych celów. Haker z szarego kapelusza zazwyczaj decyduje się na działanie między tymi dwiema opcjami, powiadamiając organizację o swoich wadach, zanim udostępni informacje opinii publicznej.