Sivi šešir je stručnjak za računalnu sigurnost koji djeluje kao haker u pokušaju da prodre u sigurnost određenog sustava ili mreže. Ova vrsta hakera obično je netko tko ne provodi takvu aktivnost u pokušaju da bude zlonamjeran, već umjesto toga koristi te napade kao istraživanje. Ako se pronađe nedostatak u sigurnosti mreže, tada ova vrsta hakera obično obavještava vlasnike te mreže ili sustava kako bi ih uputili o prirodi greške. Međutim, sivi šešir nije netko tko je ovlašten pokušati hakirati sustav, tako da njegove ili njezine aktivnosti mogu biti nezakonite.
Izraz “sivi šešir” proizlazi iz upotrebe izraza “crni šešir” i “bijeli šešir” unutar računalne sigurnosti i hakerske zajednice. Sva tri pojma odnose se na vrstu hakera, osobu koja koristi računalne programe i razne metode kako bi pokušala zaobići sigurnost mreže ili računalnog sustava. Bijeli šešir je haker zaposlen u tvrtki ili organizaciji i ovlašten da pokuša hakirati sustav te grupe kako bi potražio nedostatke ili sigurnosne rizike. Za razliku od toga, haker s crnim šeširom je netko tko upada u sustave neovlašteno i sa zlonamjernom namjerom.
Sivi šešir je haker koji spada negdje između ove dvije skupine. To znači da on ili ona obično hakiraju u sustave kojima on ili ona nisu ovlašteni pristupiti, što takvo hakiranje čini potencijalno nezakonitim. Ako gray hat haker pronađe sigurnosni propust ili sličan problem, on ili ona obično obavještava tvrtku ili organizaciju o tom nedostatku kako bi se sigurnost mogla poboljšati. Točan način na koji haker obavještava grupu, međutim, može varirati jer neke tvrtke mogu pokrenuti pravni postupak protiv sivog hakera.
Ova vrsta obavijesti obično rezultira odabirom hakera sivog šešira unutar spektra potpunog otkrivanja i privatne upotrebe. Potpuna objava odnosi se na obavještavanje javnosti o sigurnosnom propustu, uključujući i potencijalne hakere i tvrtku koja ima taj nedostatak. Suprotno tome, privatna upotreba uključivala bi hakere crnih šešira koji pronađu nedostatak, a zatim ne obavjeste tvrtku o tome kako bi umjesto toga koristili informacije u privatne, često zlonamjerne svrhe. Haker sivog šešira obično odlučuje djelovati na način između ove dvije opcije, tako što će obavijestiti organizaciju o nedostacima koje ima, prije nego što objavi informacije široj javnosti.