该论文提出了CaFA（Cost-aware Feasible Attacks）系统，旨在评估神经网络表格分类器在实际应用中对抗攻击的鲁棒性。表格数据具有结构化特征和复杂的相互关系，现有对抗攻击方法往往忽略攻击的可行性（即对抗样本在问题空间中是否可实现）以及攻击者的成本（如扰动特征数量和幅度）。CaFA通过两个核心组件解决这些问题：（1）TabPGD算法，一种针对表格数据定制的投影梯度下降变体，能够生成特征空间中的对抗扰动，同时考虑表格特征的异质性（如分类和连续特征）；（2）利用数据库技术中自动挖掘的完整性约束（如函数依赖、否定约束等）将特征空间的对抗样本投影到满足这些约束的可行区域，从而确保生成的对抗样本在现实世界中可实现。在三个数据集（如信用卡欺诈检测、贷款审批等）和两种神经网络架构上的实验表明，CaFA相比基线方法（如FGSM、PGD等）具有更高的可行成功率（即被误分类且满足约束的样本比例），同时扰动的特征数量更少、幅度更低，使得攻击更隐蔽且成本更低。此外，CaFA挖掘的约束在声音性和完备性方面优于先前工作。论文还开源了CaFA系统，希望为机器学习工程师提供通用工具，评估模型对可实现攻击的鲁棒性，从而提升部署模型的信任度。