Harmaa hattu on tietoturva -asiantuntija, joka toimii hakkerina yrittäessään tunkeutua tietyn järjestelmän tai verkon turvallisuuteen. Tämän tyyppinen hakkeri on yleensä joku, joka ei harjoita tällaista toimintaa yrittäessään olla ilkeä, vaan käyttää näitä hyökkäyksiä tutkimuksena. Jos verkon turvallisuudesta löytyy vika, tämäntyyppinen hakkeri yleensä ilmoittaa verkon tai järjestelmän omistajille ohjeistakseen virheen luonteesta. Harmaa hattu ei kuitenkaan ole henkilö, jolla on lupa yrittää hakata järjestelmään, joten hänen toimintansa voi olla laitonta.
Termi “harmaa hattu” johtuu termien “musta hattu” ja “valkoinen hattu” käytöstä tietoturva- ja hakkeriyhteisössä. Kaikki kolme termiä viittaavat hakkerityyppiin, henkilöön, joka käyttää tietokoneohjelmia ja erilaisia menetelmiä kiertääkseen verkon tai tietokonejärjestelmän turvallisuuden. Valkoinen hattu on hakkeri, jonka palveluksessa on yritys tai organisaatio ja jolla on lupa yrittää murtautua kyseisen ryhmän järjestelmään etsiäkseen puutteita tai tietoturvariskejä. Päinvastoin, musta hattu hakkeri on joku, joka murtautuu järjestelmiin ilman lupaa ja pahantahtoisesti.
Harmaa hattu on hakkeri, joka kuuluu jonnekin näiden kahden ryhmän väliin. Tämä tarkoittaa sitä, että hän tyypillisesti murtautuu järjestelmiin, joihin hänellä ei ole lupaa, mikä tekee tällaisesta hakkeroinnista mahdollisesti laitonta. Jos harmaahattu hakkeri löytää tietoturvahäiriön tai vastaavan ongelman, hän yleensä ilmoittaa tästä virheestä yritykselle tai organisaatiolle turvallisuuden parantamiseksi. Tarkka tapa, jolla hakkeri ilmoittaa ryhmälle, voi kuitenkin vaihdella, koska jotkut yritykset saattavat ryhtyä oikeustoimiin harmaata hattu hakkeria vastaan.
Tämäntyyppinen ilmoitus johtaa yleensä siihen, että harmaa hattu hakkeri valitsee täydellisen paljastamisen ja yksityisen käytön piiriin. Täydellä paljastamisella tarkoitetaan suurelle yleisölle ilmoitusta tietoturvavirheestä, mukaan lukien sekä mahdolliset hakkerit että yritys, jolla on virhe. Päinvastoin, yksityiseen käyttöön kuuluisi mustan hatun hakkerit, jotka löytävät virheen ja eivät sitten ilmoita siitä yritykselle käyttääkseen tietoja sen sijaan yksityisiin, usein haitallisiin tarkoituksiin. Harmaa hattu hakkeri yleensä päättää toimia tavalla näiden kahden vaihtoehdon välillä ilmoittamalla organisaatiolle sen puutteista ennen kuin hän julkistaa tietoja suurelle yleisölle.