En grå hatt är en datasäkerhetsspecialist som agerar som en hacker i ett försök att penetrera säkerheten för ett visst system eller nätverk. Denna typ av hackare är vanligtvis någon som inte bedriver sådan aktivitet i ett försök att vara illvillig, utan istället använder dessa attacker som forskning. Om ett fel upptäcks i nätverkets säkerhet, informerar den här typen av hackare vanligtvis ägarna av nätverket eller systemet för att instruera dem om felets natur. En grå hatt är inte någon som är behörig att försöka hacka sig in i ett system, så hans eller hennes aktiviteter kan vara olagliga.
Termen ”grå hatt” kommer från användningen av termerna ”svart hatt” och ”vit hatt” inom datasäkerhets- och hackergemenskapen. Alla tre termerna avser en typ av hackare, en person som använder datorprogram och olika metoder för att försöka kringgå säkerheten i ett nätverk eller ett datorsystem. En vit hatt är en hackare som är anställd av ett företag eller en organisation och har behörighet att försöka hacka sig in i gruppens system för att leta efter brister eller säkerhetsrisker. I motsats till detta är en black hat hacker någon som hackar sig in i system utan auktorisation och med uppsåt.
En grå hatt är en hacker som hamnar någonstans mellan dessa två grupper. Detta innebär att han eller hon vanligtvis hackar sig in i system som han eller hon inte har behörighet att komma åt, vilket gör sådan hackning potentiellt olaglig. Om grey hat-hackeren hittar ett säkerhetsbrist eller liknande problem, meddelar han eller hon vanligtvis företaget eller organisationen om detta fel så att säkerheten kan förbättras. Det exakta sättet på vilket hackaren meddelar gruppen kan dock variera eftersom vissa företag kan vidta rättsliga åtgärder mot hackern med grå hatt.
Den här typen av meddelande resulterar vanligtvis i att en hacker med grå hattar väljer inom spektrumet av fullständig avslöjande och privat användning. Fullständigt avslöjande avser meddelande till allmänheten om ett säkerhetsbrist, inklusive både potentiella hackare och företaget som har felet. I motsats till detta skulle privat användning innefatta black hat-hackare som hittar ett fel, och sedan misslyckas med att meddela företaget om det för att istället använda informationen för privata, ofta skadliga, syften. En hacker med grå hattar väljer vanligtvis att agera på ett sätt mellan dessa två alternativ, genom att meddela organisationen om brister den har innan den släpper information till allmänheten.