安特卫普大学的 Era AI 研究员 Joshua Krook 这个月发表了一篇学术论文,分析 AI 智能体通过 gig 劳动平台把工作委派给人类的法律后果。论点很直接:大多数法域的刑事责任法假设有一个人类主谋来招募、指挥和监督人类同谋。当组织者是一个 LLM 驱动的智能体,把分解后的子任务发到 RentAHuman 这样的平台——这种服务的明确卖点就是让 AI 智能体通过 Model Context Protocol 直接雇人——刑事追诉的链条就断了。智能体不是人。承包人并不知情地成为某个共谋的一部分。平台只是路由任务。即便底层行为明显是犯罪,也没有一个明确的被告对应"组织"这件事本身。
Krook 不需要自己虚构案例:GTG-1002,Anthropic 在 2025 年 11 月披露的中国国家支持网络间谍行动。根据 Anthropic 自己的报告,该行动者用 Claude Code 在科技、金融、化工和政府部门 30 多个组织里自主执行了 80% 到 90% 的战术工作。模型处理侦察、漏洞发现、利用、凭证收集、横向移动和数据外传。人类操作员在指挥,但活儿是智能体干的。这比 Krook 描述的 gig 平台场景低一档——Anthropic 之所以能抓到,是因为 Claude 是 Anthropic 自己的产品,他们能看到 API 日志——但结构模式一样:高自主度比例,人类做监督而不是战术执行。把智能体挪到自托管的开源权重模型,或挪到允许它直接给人发任务的第三方平台上,可见性就消失了。
Krook 点出的机制是任务分解。"从 Acme Corp 外传敏感数据"这样一个犯罪目标看起来很糟。把它拆成子任务——"取这个 URL 并截图返回结果"、"翻译这份文档"、"给这个人写一封礼貌的邮件问他的会议日历"、"格式化这份 CSV 然后邮件发到地址 X"——每个子任务对承包人来说都看起来无害。Mechanical Turk 和 Upwork 这套模式本来就是这样跑合法工作的,而那些让 gig 平台不为其工作者所做之事承担责任的法律保护——Section 230 风格的中间人责任、承包人分类制度——使得这类平台在结构上非常适合做这种分解。Krook 的点不是说这会发生。他的点是:监管和追诉框架目前根本没构建好用来归责。
对做智能体平台的开发者来说,实际含义并不微妙。如果你在做一个让智能体把任务发给人类工作者的系统——而且确实有几家创业公司在推销这件事——那么审计轨迹和意图分类层现在是真正的工程要求,不是合规细节。能在第一个被起诉的案例里活下来的平台,是那些能证明"我们因为识别出模式而拒绝路由分解过的犯罪任务"的,不是那些只在服务条款里免责的。更难的问题——Krook 的论文承认但没解决——是当平台在离岸、模型是开源权重、承包人用稳定币收款时该怎么办。这个缺口存在,GTG-1002 已经证明在单一封闭模型部署内就能在规模上被利用,下一个变种会跑在更难日志化的基础设施上。