Un sombrero gris, en la comunidad hacker, hace referencia a un hacker talentoso que actúa ilegalmente, aunque con buenas intenciones. Son un híbrido entre los hackers de sombrero blanco y de sombrero negro. Usualmente no atacan por intereses personales o con malas intenciones, pero están preparados para cometer delitos durante el curso de sus hazañas tecnológicas con el fin de lograr una mayor seguridad. Mientras que los hacker de sombrero blanco suelen comunicar a las empresas sobre brechas de seguridad en forma silenciosa, los hackers de sombrero gris son más propensos a avisar a la comunidad hacker, además de las compañías, y simplemente observar las consecuencias.
El término sombrero gris fue acuñado por un grupo de hackers llamado L0pht en 1998. El grupo hace las referencias en una entrevista con el New York Times en 1999 donde describe su comportamiento de "sombrero gris". El primer uso conocido del término sombrero gris, en el contexto de la literatura de seguridad informática, se remonta a 2001. La frase fue utilizada para describir a los hackers que apoyan la denuncia ética de vulnerabilidades directamente al proveedor de software. Esto en contraste con las prácticas de completa divulgación que prevalecían en la comunidad de sombrero blanco en el momento; y de los principios de los sombreros negros según la cual nadie debe estar al tanto de los agujeros de seguridad.
En 2002, sin embargo, la comunidad Anti-Sec usó el término para referirse a personas que trabajan en la industria de la seguridad durante el día, pero participar en actividades de sombrero negro por la noche. La ironía es que para los sombreros negros, esta interpretación era visto como un término despectivo, mientras que entre los sombreros blancos era un término que daba una sensación de notoriedad popular.
Después del ascenso y declive de la revelación completa vs Anti-Sec "época de oro" - y el posterior crecimiento de la filosofía del Hacking ético, la filosofía del sombrero gris plazo comenzó a tomar todo tipo de significados diversos. La persecución en los EE. UU. de Dmitry Sklyarov por actividades que eran legales en su país de origen cambió las actitudes de muchos investigadores de seguridad. A medida que Internet se hizo más utilizado para funciones críticas, y crecieron las preocupaciones sobre el terrorismo, el término sombrero blanco empezó a referirse a los expertos en seguridad corporativa que no apoyaban la divulgación completa.
Sin embargo, en 2004, Harris (et al.) publicó un libro sobre las metodologías de sombrero gris. Esto construyó sobre la idea de que sombrero negro tiene malas intenciones y que no revela sus secretos, mientras que los sombreros blancos siempre ocupados en la revelación pública y completa, difundiendo libremente las fallas de seguridad en la esperanza de que serían solucionadas. Los autores explicaban que los sombreros grises están en un punto intermedio, en el que obtienen ingresos al notificar a los proveedores de lo que necesita ser arreglado después de haber penetrado un sistema.
En 2006, el término se utiliza para describir los hackers independientes que navegan por Internet en busca de agujeros de seguridad y luego tratan de cobrarle al dueño del servidor de una cuota para reparar el problema.
En 2008, la EFF define sombreros grises como los investigadores de seguridad éticos que sin darse cuenta o discutiblemente violan la ley, en un esfuerzo de investigación y de mejorar la seguridad. Ellos abogan porque las leyes de delitos informáticos sean más claras y de ámbito más reducido.