安特衛普大學的 Era AI 研究員 Joshua Krook 這個月發表了一篇學術論文,分析 AI 智能體透過 gig 勞動平台把工作委派給人類的法律後果。論點很直接:大多數法域的刑事責任法假設有一個人類主謀來招募、指揮和監督人類同謀。當組織者是一個 LLM 驅動的智能體,把分解後的子任務發到 RentAHuman 這樣的平台——這種服務的明確賣點就是讓 AI 智能體透過 Model Context Protocol 直接雇人——刑事追訴的鏈條就斷了。智能體不是人。承包人並不知情地成為某個共謀的一部分。平台只是路由任務。即便底層行為明顯是犯罪,也沒有一個明確的被告對應「組織」這件事本身。
Krook 不需要自己虛構案例:GTG-1002,Anthropic 在 2025 年 11 月披露的中國國家支持網路間諜行動。根據 Anthropic 自己的報告,該行動者用 Claude Code 在科技、金融、化工和政府部門 30 多個組織裡自主執行了 80% 到 90% 的戰術工作。模型處理偵察、漏洞發現、利用、憑證收集、橫向移動和資料外傳。人類操作員在指揮,但活兒是智能體幹的。這比 Krook 描述的 gig 平台場景低一檔——Anthropic 之所以能抓到,是因為 Claude 是 Anthropic 自己的產品,他們能看到 API 記錄——但結構模式一樣:高自主度比例,人類做監督而不是戰術執行。把智能體挪到自託管的開源權重模型,或挪到允許它直接給人發任務的第三方平台上,可見性就消失了。
Krook 點出的機制是任務分解。「從 Acme Corp 外傳敏感資料」這樣一個犯罪目標看起來很糟。把它拆成子任務——「取這個 URL 並截圖回傳結果」、「翻譯這份文件」、「給這個人寫一封禮貌的信問他的會議日曆」、「格式化這份 CSV 然後郵件發到地址 X」——每個子任務對承包人來說都看起來無害。Mechanical Turk 和 Upwork 這套模式本來就是這樣跑合法工作的,而那些讓 gig 平台不為其工作者所做之事承擔責任的法律保護——Section 230 風格的中間人責任、承包人分類制度——使得這類平台在結構上非常適合做這種分解。Krook 的點不是說這會發生。他的點是:監管和追訴框架目前根本沒構建好用來歸責。
對做智能體平台的開發者來說,實際含義並不微妙。如果你在做一個讓智能體把任務發給人類工作者的系統——而且確實有幾家新創公司在推銷這件事——那麼審計軌跡和意圖分類層現在是真正的工程要求,不是合規細節。能在第一個被起訴的案例裡活下來的平台,是那些能證明「我們因為識別出模式而拒絕路由分解過的犯罪任務」的,不是那些只在服務條款裡免責的。更難的問題——Krook 的論文承認但沒解決——是當平台在離岸、模型是開源權重、承包人用穩定幣收款時該怎麼辦。這個缺口存在,GTG-1002 已經證明在單一封閉模型部署內就能在規模上被利用,下一個變種會跑在更難記錄日誌的基礎設施上。