गोपनीय विक्रेता प्रश्नावली उत्तरों के लिए सुरक्षित मल्टीपार्टी कंप्यूटेशन द्वारा संचालित एआई

परिचय

सुरक्षा प्रश्नावली B2B SaaS अनुबंधों की यात्रा को नियंत्रित करती हैं। वे इन्फ्रास्ट्रक्चर, डेटा हैंडलिंग, घटना प्रतिक्रिया, और अनुपालन नियंत्रणों के बारे में विस्तृत जानकारी मांगती हैं। विक्रेताओं को अक्सर प्रत्येक तिमाही में कई ऐसी प्रश्नावली उत्तर देनी पड़ती हैं, जहाँ प्रत्येक में संवेदनशील आंतरिक डेटा—आर्किटेक्चर डायग्राम, विशेष पहचान प्रमाणपत्र, या स्वामित्व प्रक्रिया वर्णन—शामिल हो सकते हैं।

पारंपरिक एआई‑संचालित ऑटोमेशन, जैसे Procurize AI Engine, उत्तर निर्माण को अत्यधिक तेज़ बनाता है, लेकिन आम तौर पर कच्चे स्रोत सामग्री तक केंद्रीकृत पहुंच की आवश्यकता होती है। यह केंद्रीकरण दो प्रमुख जोखिम लाता है:

डेटा लीक – यदि एआई मॉडल या अंतर्निहित स्टोरेज समझौता किया जाता है, तो गोपनीय कंपनी जानकारी उजागर हो सकती है।
नियमों का उल्लंघन – GDPR, CCPA और उभरते डेटा‑सावरेनिटी कानून जैसे नियमन व्यक्तिगत या स्वामित्व डेटा के प्रसंस्करण के स्थान और तरीके को सीमित करते हैं।

सुरक्षित मल्टीपार्टी कंप्यूटेशन (SMPC)—एक क्रिप्टोग्राफ़िक प्रोटोकॉल जो कई पक्षों को उनके इनपुट को निजी रखे हुए एक फ़ंक्शन को संयुक्त रूप से गणना करने देता है। SMPC को जनरेटिव एआई के साथ मिलाकर हम सही, ऑडिटेबल प्रश्नावली उत्तर उत्पन्न कर सकते हैं, बिना कच्चा डेटा एआई मॉडल या किसी एकल प्रोसेसिंग नोड को दिखाए।

यह लेख तकनीकी आधार, व्यावहारिक लागू करने के चरण, और Secure‑SMPC‑AI पाइपलाइन के व्यापारिक लाभों को प्रस्तुत करता है, विशेष रूप से Procurize प्लेटफ़ॉर्म के लिए अनुकूलित।

मुख्य निष्कर्ष: SMPC‑वर्धित एआई ऑटोमेशन की गति और ज़ीरो‑नॉलेज की गोपनीयता गारंटी दोनों प्रदान करता है, जिससे SaaS कंपनियों के प्रश्नावली उत्तर देने के तरीके में क्रांति आती है।

1. सुरक्षित मल्टीपार्टी कंप्यूटेशन के मूल सिद्धांत

Secure Multiparty Computation भागीदारों के एक सेट को, जिनके पास निजी इनपुट है, एक संयुक्त फ़ंक्शन f की गणना करने देता है, जबकि:

सहीपन – सभी पक्ष सही आउटपुट f(x₁, x₂, …, xₙ) प्राप्त करते हैं।
गोपनीयता – आउटपुट से अधिक कुछ नहीं सीखते सिवाय उस जानकारी के जो आउटपुट से निष्कर्षित हो सकती है।

SMPC प्रोटोकॉल दो प्रमुख परिवारों में विभाजित हैं:

प्रोटोकॉल	मुख्य विचार	सामान्य उपयोग‑केस
सीक्रेट शेयरिंग (Shamir, additive)	प्रत्येक इनपुट को यादृच्छिक शेयरों में बाँटा जाता है और सभी पक्षों को वितरित किया जाता है। गणना शेयरों पर होती है; पुनर्निर्माण पर परिणाम मिलता है।	बड़े मैट्रिक्स ऑपरेशन, गोपनीय विश्लेषण।
गार्ब्ल्ड सर्किट	एक पक्ष (गार्ब्लर) बूलियन सर्किट को एन्क्रिप्ट करता है; मूल्यांकनकर्ता एन्क्रिप्टेड इनपुट से सर्किट चलाता है।	बाइनरी निर्णय फ़ंक्शन, सुरक्षित तुलना।

हमारे परिदृश्य—टेक्स्ट निष्कर्षण, सेमैन्टिक समानता, और साक्ष्य संश्लेषण—के लिए ऐडिटिव सीक्रेट शेयरिंग सबसे उपयुक्त है क्योंकि यह उच्च‑आयामी वेक्टर ऑपरेशनों को आधुनिक MPC फ्रेमवर्क जैसे MP‑SPDZ, CrypTen, या Scale‑MPC के साथ कुशलता से संभालता है।

2. आर्किटेक्चर अवलोकन

नीचे एक उच्च‑स्तरीय Mermaid डाइग्राम है जो Procurize में SMPC‑वर्धित एआई के अंत‑से‑अंत प्रवाह को दर्शाता है।

  graph TD
    A["डेटा मालिक (कंपनी)"] -->|एन्क्रिप्ट एवं शेयर| B["SMPC नोड 1 (एआई गणना)"]
    A -->|एन्क्रिप्ट एवं शेयर| C["SMPC नोड 2 (नीति भंडार)"]
    A -->|एन्क्रिप्ट एवं शेयर| D["SMPC नोड 3 (ऑडिट लेजर)"]
    B -->|सुरक्षित वेक्टर ऑपरेशन| E["LLM अनुमान (एन्क्रिप्टेड)"]
    C -->|नीति पुनः प्राप्ति| E
    D -->|प्रूफ़ निर्माण| F["ज़ीरो‑नॉलेज ऑडिट प्रूफ़"]
    E -->|एन्क्रिप्टेड उत्तर| G["उत्तर एकत्रक"]
    G -->|उघड़ा गया उत्तर| H["विक्रेता प्रश्नावली UI"]
    F -->|ऑडिट ट्रेल| H

घटक विवरण

डेटा मालिक (कंपनी) – स्वामित्व दस्तावेज़ (जैसे SOC 2 रिपोर्ट, आर्किटेक्चर डायग्राम) रखता है। प्रक्रिया से पहले मालिक सीक्रेट‑शेयर बनाकर इन्हें तीन एन्क्रिप्टेड टुकड़ों में बाँटता है और SMPC नोड्स को वितरित करता है।
SMPC नोड्स – स्वतंत्र रूप से शेयरों पर गणना करते हैं। नोड 1 LLM अनुमान इंजन (जैसे फाइन‑ट्यून Llama‑2) को एन्क्रिप्शन के तहत चलाता है। नोड 2 नीति ज्ञान ग्राफ (जैसे ISO 27001 कंट्रोल) को भी सीक्रेट‑शेयरेड रखता है। नोड 3 अपरिवर्तनीय ऑडिट लेजर (ब्लॉकचेन या एपेंड‑ऑनली लॉग) रखता है, जो अनुरोध मेटाडाटा को बिना कच्चा डेटा उजागर किए रिकॉर्ड करता है।
LLM अनुमान (एन्क्रिप्टेड) – मॉडल एन्क्रिप्टेड एम्बेडिंग्स को लेता है, एन्क्रिप्टेड उत्तर वेक्टर उत्पन्न करता है, और उन्हें एकत्रक को लौटाता है।
उत्तर एकत्रक – संपूर्ण गणना समाप्त होने के बाद ही प्लेनटेक्स्ट उत्तर पुनः निर्मित करता है, जिससे कोई मध्यवर्ती लीक नहीं होता।
ज़ीरो‑नॉलेज ऑडिट प्रूफ़ – नोड 3 द्वारा निर्मित, यह प्रमाण देता है कि उत्तर निर्दिष्ट नीति स्रोतों से प्राप्त हुआ, बिना स्रोतों को उजागर किए।

3. विस्तृत कार्यप्रवाह

3.1 इनजेशन एवं सीक्रेट शेयरिंग

दस्तावेज़ सामान्यीकरण – PDFs, Word फ़ाइलें, और कोड स्निपेट को प्लेनटेक्स्ट में बदलकर टोकनाइज़ किया जाता है।
एम्बेडिंग निर्माण – एक हल्का एन्कोडर (जैसे MiniLM) प्रत्येक पैराग्राफ के लिए घने वेक्टर बनाता है।
ऐडिटिव सीक्रेट स्प्लिटिंग – प्रत्येक वेक्टर v के लिए यादृच्छिक शेयर v₁, v₂, v₃ उत्पन्न किए जाते हैं ताकि v = v₁ + v₂ + v₃ (mod p) हो।
वितरण – शेयर TLS के ऊपर तीन SMPC नोड्स को भेजे जाते हैं।

3.2 नीति संदर्भ की सुरक्षित पुनः प्राप्ति

नीति ज्ञान ग्राफ (नियंत्रण, मानक मैपिंग) एन्क्रिप्टेड रूप में नोड्स में वितरित रहता है।
जब प्रश्नावली आइटम आता है (जैसे “डेटा‑एट‑रेस्ट एन्क्रिप्शन का विवरण दें”), सिस्टम सुरक्षित सेट‑इंटरसेक्शन का उपयोग करके संबंधित नीति क्लॉज़ खोजता है, बिना पूरे ग्राफ को उजागर किए।

3.3 एन्क्रिप्टेड LLM अनुमान

एन्क्रिप्टेड एम्बेडिंग्स और पुनः प्राप्त किए गए नीति वेक्टर को गुप्त‑शेयर पर चलने वाले प्राइवेसी‑फ्रेंडली ट्रांसफ़ॉर्मर में दिया जाता है।
पूर्ण होमॉमॉर्फिक एन्क्रिप्शन (FHE) अनुकूल एटेंशन या MPC‑ऑप्टिमाइज़्ड सॉफ्टमैक्स जैसी तकनीकों से एन्क्रिप्टेड डोमेन में सबसे संभावित उत्तर टोकन अनुक्रम की गणना की जाती है।

3.4 पुनर्निर्माण एवं ऑडिटेबल प्रूफ़

एन्क्रिप्टेड उत्तर टोकन तैयार होने पर उत्तर एकत्रक शेयरों को जोड़ कर प्लेनटेक्‍स्ट उत्तर बनाता है।
साथ‑साथ, नोड 3 एक ज़ीरो‑नॉलेज स्नीक्ट (zk‑SNARK) बनाता है, जो दर्शाता है कि उत्तर:
- सही नीति क्लॉज़ चयन पर आधारित है,
- कच्चा दस्तावेज़ सामग्री उजागर नहीं करता।

3.5 अंतिम उपयोगकर्ता को वितरण

अंतिम उत्तर Procurize UI में एक क्रिप्टोग्राफ़िक प्रूफ़ बेज़ के साथ दिखता है।
ऑडिटर सार्वजनिक वेरिफ़ायर कुंजी का उपयोग करके प्रूफ़ को सत्यापित कर सकते हैं, जिससे अनुपालन सुनिश्चित हो जाता है बिना मूल दस्तावेज़ माँगे।

4. सुरक्षा गारंटी

खतरा	SMPC‑एआई द्वारा निवारण
एआई सेवा से डेटा चोरी	कच्चा डेटा कभी भी एआई सेवा के पास नहीं जाता; केवल सीक्रेट शेयर ट्रांसमिट होते हैं।
क्लाउड प्रदाता में अंदरूनी खतरा	कोई एकल नोड सम्पूर्ण डेटा नहीं रखता; डेटा पुनर्निर्माण के लिए कम से कम दो नोड्स का सहयोग आवश्यक है।
मॉडल एक्सट्रैक्शन अटैक	एआई मॉडल एन्क्रिप्टेड इनपुट पर चलता है; हमलावरों को मनचाहे डेटा के साथ क्वेरी करने की सुविधा नहीं मिलती।
नियमावली ऑडिट	zk‑SNARK प्रूफ़ दिखाता है कि डेटा स्थानीयता नियमों का पालन करता है, बिना डेटा उजागर किए।
मध्यवर्ती हमले (Man‑in‑the‑Middle)	सभी चैनल TLS‑सुरक्षित हैं; सीक्रेट शेयरिंग नेटवर्क सुरक्षा से स्वतंत्र क्रिप्टोग्राफ़िक सुरक्षा प्रदान करती है।

5. प्रदर्शन विचार

SMPC कुछ अतिरिक्त ओवरहेड लाता है, परंतु आधुनिक अनुकूलन के साथ प्रश्नावली ऑटोमेशन के लिए विलंब सहनीय रहता है:

मीट्रिक	सामान्य एआई	SMPC‑एआई (3‑नोड)
अनुमान विलंब	~1.2 सेकेंड प्रति उत्तर	~3.8 सेकेंड प्रति उत्तर
थ्रूपुट	120 उत्तर/मिनट	45 उत्तर/मिनट
कंप्यूट लागत	0.25 CPU‑hour/1k उत्तर	0.80 CPU‑hour/1k उत्तर
नेटवर्क ट्रैफ़िक	< 5 MB/उत्तर	~12 MB/उत्तर (एन्क्रिप्टेड शेयर)

मुख्य अनुकूलन:

बैचिंग – कई प्रश्नावली आइटम को एक साथ शेयरों पर प्रोसेस करना।
हाइब्रिड प्रोटोकॉल – भारी रैखिक बीजगणित के लिए सीक्रेट शेयरिंग, और केवल गैर‑रेखीय कार्यों (जैसे तुलना) के लिए गार्ब्ल्ड सर्किट का उपयोग।
एज डिप्लॉयमेंट – एक SMPC नोड को ऑन‑प्रेमिस (कंपनी फ़ायरवॉल के भीतर) चलाकर बाहरी क्लाउड पर भरोसा कम करना।

6. Procurize के साथ एकीकरण

Procurize पहले से प्रदान करता है:

दस्तावेज़ रेपॉज़िटरी – कंप्लायंस सामग्री का केंद्रीकृत भंडार।
प्रश्नावली बिल्डर – प्रश्नावली बनाना, असाइन करना, और ट्रैक करना।
एआई इंजन – उत्तर निर्माण के लिए फाइन‑ट्यून LLM।

SMPC‑एआई को जोड़ने के चरण:

SMPC मोड सक्षम करें – एड्मिन प्लेटफ़ॉर्म सेटिंग्स में फ़्लैग ऑन करें।
SMPC नोड्स प्रोविजन करें – तीन Docker कंटेनर (नोड 1‑3) को आधिकारिक procurize/smpc-node इमेज से डिप्लॉय करें। कंटेनर स्वचालित रूप से ऑरकेस्ट्रेशन लेयर में रजिस्टर होते हैं।
नीति ग्राफ परिभाषित करें – मौजूदा नीति मैपिंग को JSON‑LD में एक्सपोर्ट करें; प्लेटफ़ॉर्म इसे एन्क्रिप्ट कर शेयर वितरित करता है।
ऑडिट प्रूफ़ कॉन्फ़िगर करें – सार्वजनिक वेरिफ़ायर कुंजी प्रदान करें; UI स्वचालित रूप से प्रूफ़ बेज़ दिखाएगा।
सुरक्षित LLM प्रशिक्षित करें – मानक एआई इंजन की ही डेटासेट का उपयोग करके मॉडल ट्रेन करें; प्रशिक्षण ऑफ‑चेन होता है, और परिणामी मॉडल वज़न नोड 1 के सील्ड एन्क्लेव (जैसे Intel SGX) में लोड होते हैं।

7. वास्तविक उपयोग मामला: FinTech विक्रेता ऑडिट

कंपनी: FinFlow, एक मध्य‑स्तर FinTech SaaS प्रदाता।

समस्या: बैंकिंग साझेदारों की त्रैमासिक ऑडिट में डेटा‑एट‑रेस्ट एन्क्रिप्शन विवरण की पूर्ण जानकारी चाहिए थी। उनका एन्क्रिप्शन कुंजी एवं कुंजी‑प्रबंधन नीतियाँ वर्गीकृत थीं, जिन्हें बाहरी एआई सेवा में अपलोड नहीं किया जा सकता था।

समाधान:

FinFlow ने SMPC‑एआई नोड्स डिप्लॉय किए—नोड 1 Azure Confidential Compute VM में, नोड 2 ऑन‑प्रेमिस, नोड 3 Hyperledger Fabric पीयर के रूप में।
एन्क्रिप्शन‑नीति दस्तावेज़ (5 MB) को सीक्रेट‑शेयर करके नोड्स को दिया गया।
प्रश्नावली आइटम “कुंजी‑रोटेशन शेड्यूल का विवरण दें” को 4.2 सेकेंड में उत्तर मिला, साथ में एक सत्यापनीय प्रूफ़ भी।
बैंक के ऑडिटर ने सार्वजनिक कुंजी से प्रूफ़ सत्यापित किया, जिससे यह पुष्टि हुई कि उत्तर FinFlow की आंतरिक नीति से उत्पन्न हुआ, बिना नीति स्वयं देखे।

परिणाम: ऑडिट टर्न‑अराउंड समय 7 दिन से घटकर 2 घंटे हुआ, और कोई अनुपालन उल्लंघन नहीं रहा।

8. भविष्य की दिशा

रोडमैप आइटम	अपेक्षित प्रभाव
वेंडर्स के बीच फेडरेटेड SMPC	कई विक्रेताओं के बीच बेंचमार्किंग, बिना स्वामित्व डेटा साझा किए।
ऑन‑चेन शासन के साथ डायनेमिक नीति रीफ़्रेश	त्वरित नीति अपडेट्स जो SMPC गणना में तुरंत परिलक्षित हों।
ज़ीरो‑नॉलेज जोखिम स्कोरिंग	एन्क्रिप्टेड डेटा से प्रमाणित जोखिम स्कोर उत्पन्न करना।
एआई‑जनित अनुपालन विवरण	हाँ/ना उत्तरों से परे पूर्ण विवरण उत्पन्न करना, फिर भी गोपनीयता सुनिश्चित रखना।

निष्कर्ष

सुरक्षित मल्टीपार्टी कंप्यूटेशन को जनरेटिव एआई के साथ मिलाकर गोपनीयता‑प्रथम, ऑडिटेबल, और स्केलेबल समाधान मिलता है, जो सुरक्षा प्रश्नावली उत्तरों को स्वचालित करता है। यह आधुनिक SaaS कंपनियों की तीन मुख्य जरूरतों को पूरा करता है:

गति – रीयल‑टाइम उत्तर निर्माण से सौदे तेज़ होते हैं।
सुरक्षा – गोपनीय डेटा कभी भी अधिकारिक मालिक से बाहर नहीं जाता, जिससे लीक और नियामक उल्लंघन से बचाव होता है।
विश्वास – क्रिप्टोग्राफ़िक प्रूफ़ दर्शाते हैं कि उत्तर सत्यापित आंतरिक नीतियों से निकले हैं।

Procurize में SMPC‑एआई को एम्बेड करके, संगठन एक प्रतियोगी लाभ प्राप्त कर सकते हैं, जिससे वे तेज़ी से अनुबंध बंद कर सकते हैं, जबकि सर्वोच्च गोपनीयता मानकों का पालन करते हैं।