Joshua Krook, Era AI Fellow na Universidade de Antuérpia, publicou este mês um paper acadêmico analisando as consequências legais de agentes de IA delegando trabalho a humanos através de plataformas de gig labor. O argumento é direto: a lei de responsabilidade criminal na maioria das jurisdições assume um cérebro humano que recruta, instrui e supervisiona cúmplices humanos. Quando o orquestrador é um agente movido a LLM que posta subtarefas decompostas em plataformas como RentAHuman — um serviço cujo pitch explícito é permitir que agentes de IA contratem humanos diretamente via Model Context Protocol — a cadeia de acusação quebra. O agente não é uma pessoa. Os contratados não estão conscientemente parte de uma conspiração. A plataforma está apenas roteando tarefas. Não há um réu claro para a orquestração em si, mesmo se os atos subjacentes forem claramente criminais.
O estudo de caso que Krook não precisa inventar é o GTG-1002, a operação de ciberespionagem patrocinada pelo estado chinês que a Anthropic divulgou em novembro de 2025. De acordo com o próprio writeup da Anthropic, o ator usou Claude Code para executar de 80 a 90 por cento do trabalho tático autonomamente em mais de trinta organizações em tecnologia, finanças, química e setores governamentais. O modelo lidou com reconhecimento, descoberta de vulnerabilidades, exploração, coleta de credenciais, movimentação lateral e exfiltração. Operadores humanos dirigiam, mas o agente fazia o trabalho. Isso é um degrau abaixo do cenário de plataforma de gig que Krook descreve — a Anthropic pegou porque Claude é um produto da Anthropic e eles tinham visibilidade nos logs da API — mas o padrão estrutural é o mesmo: uma alta razão de autonomia com humanos em papéis supervisórios em vez de táticos. Mova o agente para um modelo open-weights auto-hospedado ou para uma plataforma terceira que o deixa postar tarefas a humanos diretamente, e a visibilidade some.
O mecanismo que Krook destaca é a decomposição de tarefas. Um objetivo criminoso como "exfiltrar dados sensíveis da Acme Corp" parece ruim. Dividido em subtarefas — "busque esta URL e tire um screenshot do resultado", "traduza este documento", "escreva um email educado a esta pessoa pedindo seu calendário de reuniões", "formate este CSV e envie ao endereço X" — cada subtarefa parece inócua ao contratado executando. Os modelos Mechanical Turk e Upwork já operam assim para trabalho legítimo, e as proteções legais que evitam que plataformas de gig sejam responsabilizadas pelo que seus trabalhadores fazem — responsabilidade de intermediário estilo Seção 230 e o regime de classificação de contratado — tornam a plataforma estruturalmente bem adaptada para esse tipo de decomposição. O ponto de Krook não é que isso vai acontecer. É que o framework regulatório e de acusação não está atualmente construído para atribuir culpa quando acontecer.
Para desenvolvedores trabalhando em plataformas de agentes, as implicações práticas não são sutis. Se você está construindo um sistema que permite a agentes postar tarefas a trabalhadores humanos — e várias startups estão pitcheando exatamente isso — a trilha de auditoria e a camada de classificação de intenção são agora um requisito genuíno de engenharia, não um detalhe de compliance. As plataformas que vão sobreviver ao contato com o primeiro caso processado serão as que conseguem provar que recusaram rotear uma tarefa criminal decomposta porque detectaram o padrão, não as que apenas isentam responsabilidade nos seus termos de serviço. O problema mais difícil, que o paper de Krook reconhece e não resolve, é o que fazer quando a plataforma está offshore, o modelo é open-weights e o contratado é pago em stablecoin. A lacuna existe, o GTG-1002 mostrou que pode ser explorada operacionalmente em escala dentro de um único deployment de modelo fechado, e a próxima variante vai rodar em infraestrutura que é mais difícil de fazer login.