A frase grey hat foi usada pela primeira vez publicamente no contexto da segurança informática quando o DEF CON anunciou o primeiro Black Hat Briefings programado em 1996, embora possa ter sido usado por grupos menores antes deste tempo. Além disso, nesta conferência foi feita uma apresentação na qual Mudge, um membro chave do grupo de hacking L0pht, discutiu sua intenção como hackers de chapéu cinza para prover a Microsoft com descobertas de vulnerabilidade a fim de proteger o vasto número de usuários de seu sistema operacional. Finalmente, Mike Nash, diretor do grupo de servidores da Microsoft, afirmou que os hackers de chapéu cinza são muito parecidos com pessoas técnicas da indústria de software independente, pois “eles são valiosos em nos dar feedback para tornar nossos produtos melhores”.
A frase chapéu cinza foi usada pelo grupo hacker L0pht em uma entrevista de 1999 com o The New York Times para descrever suas atividades de hacking.
A frase foi usada para descrever hackers que suportam o relato ético de vulnerabilidades diretamente ao fornecedor de software, em contraste com as práticas de divulgação total que eram prevalecentes na comunidade de chapéu branco que as vulnerabilidades não eram divulgadas fora de seu grupo.
Em 2002, entretanto, a comunidade Anti-Sec publicou o uso do termo para se referir às pessoas que trabalham na indústria de segurança durante o dia, mas se envolvem em atividades de chapéu preto durante a noite. A ironia era que para chapéus negros, esta interpretação era vista como um termo depreciativo; enquanto entre chapéus brancos era um termo que emprestava uma sensação de notoriedade popular.
Na sequência da ascensão e eventual declínio da revelação completa vs. “era dourada” anti-sec – e o subsequente crescimento de uma filosofia de “hacking ético” – o termo chapéu cinzento começou a assumir todos os tipos de significados diversos. A acusação nos EUA de Dmitry Sklyarov por atividades legais em seu país de origem mudou as atitudes de muitos pesquisadores de segurança. medida que a internet foi sendo usada para funções mais críticas, e as preocupações com o terrorismo cresceram, o termo “chapéu branco” começou a se referir a especialistas em segurança corporativa que não apoiavam a divulgação total.
Em 2008, o EFF definiu chapéu cinza como pesquisadores de segurança ética que inadvertidamente ou discutivelmente violam a lei em um esforço para pesquisar e melhorar a segurança. Eles defendem leis de ofensa ao computador que são mais claras e mais restritas.