A szürke kalap kifejezést először akkor használták nyilvánosan a számítógépes biztonsággal összefüggésben, amikor a DEF CON 1996-ban bejelentette az első tervezett Black Hat Briefingeket, bár kisebb csoportok már ezt megelőzően is használhatták. Ráadásul ezen a konferencián tartottak egy előadást, amelyben Mudge, az L0pht hackercsoport egyik kulcsembere arról beszélt, hogy szürke kalapos hackerként az a szándékuk, hogy a Microsoftot sebezhetőségi felfedezésekkel lássák el annak érdekében, hogy megvédjék operációs rendszerének hatalmas számú felhasználóját. Végül Mike Nash, a Microsoft szervercsoportjának igazgatója kijelentette, hogy a szürke kalapos hackerek nagyban hasonlítanak a független szoftveriparban dolgozó műszaki szakemberekhez, mivel “értékes visszajelzést adnak nekünk, hogy jobbá tegyük termékeinket.”
A szürke kalapos kifejezést az L0pht hackercsoport a The New York Timesnak adott 1999-es interjújában használta hackertevékenységük leírására.
A kifejezést olyan hackerek leírására használták, akik támogatják a sebezhetőségek etikus jelentését közvetlenül a szoftvergyártónak, szemben a fehér kalapos közösségben elterjedt teljes nyilvánosságra hozatali gyakorlattal, miszerint a sebezhetőségeket nem szabad a csoportjukon kívül nyilvánosságra hozni.
2002-ben azonban az Anti-Sec közösség közzétette a kifejezés használatát olyan emberekre, akik nappal a biztonsági iparban dolgoznak, de éjszaka fekete kalapos tevékenységet folytatnak. Az irónia az volt, hogy a fekete kalaposok számára ez az értelmezés lekicsinylő kifejezésnek számított; míg a fehér kalaposok körében ez egy olyan kifejezés volt, amely a népszerű hírnév érzetét kölcsönözte.
A teljes nyilvánosság kontra anti-sec “aranykorszak” felemelkedését és végül hanyatlását – és az ezt követő “etikus hacker” filozófia növekedését – követően a szürke kalap kifejezés a legkülönbözőbb jelentésekben kezdett megjelenni. Dmitrij Skljarovnak a hazájában legális tevékenységéért az Egyesült Államokban indított büntetőeljárás megváltoztatta sok biztonsági kutató hozzáállását. Ahogy az internetet egyre több kritikus funkcióra használták, és a terrorizmussal kapcsolatos aggodalmak nőttek, a “fehér kalapos” kifejezés a vállalati biztonsági szakértőkre kezdett utalni, akik nem támogatták a teljes nyilvánosságra hozatalt.
2008-ban az EFF a szürke kalaposokat olyan etikus biztonsági kutatókként definiálta, akik a kutatás és a biztonság javítása érdekében véletlenül vagy vitathatóan megsértik a törvényt. Olyan számítógépes bűncselekményekre vonatkozó törvényeket szorgalmaznak, amelyek világosabbak és szűkebb körűek.