グレーハットという言葉がコンピュータ セキュリティの文脈で初めて公に使われたのは、1996 年に DEF CON がブラック ハット ブリーフィングを初めて予定したと発表したときですが、それ以前から小規模のグループで使われていた可能性もあります。 さらに、このカンファレンスでは、ハッキンググループL0phtの主要メンバーであるMudgeが、グレイハットハッカーとして、マイクロソフト社のOSの膨大な数のユーザーを守るために脆弱性の発見を提供する意図を語ったプレゼンテーションも行われた。 最後に、マイクロソフトのサーバーグループのディレクターである Mike Nash は、グレーハットハッカーは独立系ソフトウェア業界の技術者とよく似ており、「彼らは私たちの製品をより良くするためにフィードバックを与えてくれる貴重な存在です」と述べています。
ハッカーグループ L0pht が 1999 年にニューヨークタイムズのインタビューで、彼らのハッカー活動について表現した際に、グレーハットという言葉が使われました。
このフレーズは、脆弱性をグループ外に開示しないという、ホワイトハット コミュニティで普及していた完全な開示慣行とは対照的に、ソフトウェア ベンダーに直接脆弱性を倫理的に報告することを支持するハッカーを表すために使用されていました。 皮肉なことに、ブラックハットにとって、この解釈は蔑称と見なされましたが、ホワイトハットの間では、人気のある悪評をもたらす用語でした。
完全公開対反セックの「黄金時代」の高まりと衰退、およびその後の「倫理的ハッキング」哲学の成長を受けて、グレーハットという用語がさまざまな意味を帯びるようになりました。 本国では合法であった活動が米国で起訴されたことで、多くのセキュリティ研究者の意識は変わりました。 インターネットがより重要な機能に使用されるようになり、テロに対する懸念が高まるにつれ、「ホワイトハット」という用語は、完全な情報開示を支持しない企業のセキュリティ専門家を指すようになりました
2008 年に、EFF はグレーハットを、研究やセキュリティ向上のために不注意または議論の余地なく法律を侵害する倫理的セキュリティ研究者と定義しました。 彼らは、より明確で狭義のコンピュータ犯罪法を提唱しています
。