Topi abu-abu adalah spesialis keamanan komputer yang bertindak sebagai peretas dalam upaya untuk menembus keamanan sistem atau jaringan tertentu. Peretas jenis ini biasanya adalah seseorang yang tidak melakukan aktivitas tersebut dalam upaya untuk menjadi jahat, tetapi menggunakan serangan ini sebagai penelitian. Jika ditemukan cacat dalam keamanan jaringan, maka peretas jenis ini biasanya memberi tahu pemilik jaringan atau sistem tersebut untuk memberi tahu mereka tentang sifat cacat tersebut. Topi abu-abu bukanlah seseorang yang berwenang untuk mencoba meretas ke dalam suatu sistem, sehingga aktivitasnya mungkin ilegal.
Istilah “topi abu-abu” berasal dari penggunaan istilah “topi hitam” dan “topi putih” dalam komunitas keamanan komputer dan peretas. Ketiga istilah tersebut mengacu pada jenis peretas, seseorang yang menggunakan program komputer dan berbagai metode untuk mencoba menghindari keamanan jaringan atau sistem komputer. Topi putih adalah peretas yang dipekerjakan oleh perusahaan atau organisasi dan diberi wewenang untuk mencoba meretas ke dalam sistem kelompok itu untuk mencari kelemahan atau risiko keamanan. Berbeda dengan ini, peretas topi hitam adalah seseorang yang meretas ke dalam sistem tanpa izin dan dengan niat jahat.
Topi abu-abu adalah peretas yang berada di antara dua kelompok ini. Ini berarti dia biasanya meretas ke dalam sistem yang tidak diizinkan untuk dia akses, yang membuat peretasan tersebut berpotensi ilegal. Jika peretas topi abu-abu menemukan kelemahan keamanan atau masalah serupa, maka dia biasanya memberi tahu perusahaan atau organisasi tentang kelemahan ini sehingga keamanan dapat ditingkatkan. Namun, cara persisnya peretas memberi tahu grup dapat bervariasi karena beberapa perusahaan mungkin menempuh tindakan hukum terhadap peretas topi abu-abu.
Jenis pemberitahuan ini biasanya menghasilkan peretas topi abu-abu yang memilih dalam spektrum pengungkapan penuh dan penggunaan pribadi. Pengungkapan penuh mengacu pada pemberitahuan kepada masyarakat umum tentang kelemahan keamanan, termasuk calon peretas dan perusahaan yang memiliki kelemahan tersebut. Berbeda dengan ini, penggunaan pribadi akan mencakup peretas topi hitam yang menemukan kelemahan, dan kemudian gagal memberi tahu perusahaan tentang hal itu untuk menggunakan informasi tersebut untuk tujuan pribadi, yang seringkali berbahaya. Peretas topi abu-abu biasanya memilih untuk bertindak di antara dua opsi ini, dengan memberi tahu organisasi tentang kekurangan yang dimilikinya, sebelum merilis informasi ke masyarakat umum.