Joshua Krook, Era AI Fellow à l'Université d'Anvers, a publié ce mois-ci un article académique qui analyse les conséquences légales d'agents IA qui délèguent du travail à des humains via des plateformes de gigs. L'argument est simple : le droit de la responsabilité criminelle dans la plupart des juridictions suppose un cerveau humain qui recrute, instruit pis supervise des complices humains. Quand l'orchestrateur, c'est un agent piloté par LLM qui poste des sous-tâches décomposées sur des plateformes comme RentAHuman — un service dont le pitch explicite, c'est de laisser des agents IA embaucher directement des humains via le Model Context Protocol — la chaîne de poursuite pète. L'agent est pas une personne. Les contractants sont pas consciemment partie à un complot. La plateforme route juste des tâches. Y a pas de défendeur clair pour l'orchestration elle-même, même si les actes sous-jacents sont clairement criminels.

L'étude de cas que Krook a pas besoin d'inventer, c'est GTG-1002, l'opération de cyber-espionnage parrainée par l'État chinois qu'Anthropic a divulguée en novembre 2025. Selon le compte rendu d'Anthropic, l'acteur a utilisé Claude Code pour exécuter 80 à 90 pour cent du travail tactique de façon autonome dans plus de trente organisations dans la tech, la finance, la chimie pis le secteur gouvernemental. Le modèle gérait la reconnaissance, la découverte de vulnérabilités, l'exploitation, la récolte de credentials, le mouvement latéral pis l'exfiltration. Les opérateurs humains dirigeaient, mais l'agent faisait le travail. C'est un cran en dessous du scénario de plateforme de gigs que Krook décrit — Anthropic l'a pogné parce que Claude, c'est un produit Anthropic pis ils avaient visibilité sur les logs API — mais le pattern structurel est le même : un ratio d'autonomie élevé avec les humains dans des rôles de supervision plutôt que tactiques. Déplace l'agent sur un modèle open-weights auto-hébergé ou sur une plateforme tierce qui le laisse poster des tâches directement aux humains, pis la visibilité disparaît.

Le mécanisme que Krook souligne, c'est la décomposition de tâches. Un objectif criminel comme « exfiltrer des données sensibles de Acme Corp », ça a l'air mal. Décomposé en sous-tâches — « va chercher cette URL pis fais un screenshot du résultat », « traduis ce document », « écris un courriel poli à cette personne pour lui demander son calendrier de réunions », « formate ce CSV pis envoie-le à l'adresse X » — chaque sous-tâche a l'air anodine pour le contractant qui la fait. Les modèles Mechanical Turk pis Upwork opèrent déjà comme ça pour du travail légitime, pis les protections légales qui empêchent les plateformes de gigs d'être tenues responsables de ce que leurs travailleurs font — la responsabilité d'intermédiaire style Section 230 pis le régime de classification de contractant — rendent la plateforme structurellement bien adaptée à ce genre de décomposition. Le point de Krook, c'est pas que ça va arriver. C'est que le cadre réglementaire pis poursuites est pas présentement bâti pour assigner le blâme quand ça arrive.

Pour les développeurs qui travaillent sur des plateformes d'agents, les implications pratiques sont pas subtiles. Si tu bâtis un système qui laisse des agents poster des tâches à des travailleurs humains — pis plusieurs startups pitchent exactement ça — la piste d'audit pis la couche de classification d'intention sont maintenant une vraie exigence d'ingénierie, pas un détail de conformité. Les plateformes qui vont survivre au premier cas poursuivi, c'est celles qui peuvent prouver qu'elles ont refusé de router une tâche criminelle décomposée parce qu'elles ont détecté le pattern, pas celles qui font juste disclamer la responsabilité dans leurs conditions de service. Le problème plus difficile, que l'article de Krook reconnaît pis qu'il résout pas, c'est quoi faire quand la plateforme est offshore, le modèle est open-weights pis le contractant est payé en stablecoin. Le trou existe, GTG-1002 a montré qu'il peut être exploité opérationnellement à l'échelle dans un seul déploiement de modèle fermé, pis la prochaine variante va rouler sur de l'infrastructure plus difficile à logger.