Olá! Minha contribuição de 2 centavos sobre o assunto:
Visão geral:
Curto muito novas tecnologias, possibilidades, formas novas de se fazer as coisas... mas ao mesmo tempo, esse tipo de novidade tem 2 problemas na minha visão, que é a aceitação e o quanto isso pode realmente ajudar. Ora, não adianta algo ser amplamente conhecido/usado/aceito mas ser inútil no fim do dia (hype, tipo o Devyn) ou ser uma ferramenta maravilhosa, mas pouco difundida, ou com comunidade ativa pequena ou em desenvolvimento (diria aqui algo como o Godot 4, é o unico que vem na cabeça, mas 90% de certeza de isso gerar controvérsias). Htmx pra mim cai nessa linha, pois no fim do dia irá competir com os gigantes do front end para um lugar ao sol, como o React e o Angular, e isso leva ao ponto de que dificilmente vão existir muitas vagas relacionadas a tecnologia, ainda mais buscando profissionais que tenham pouco tempo de "voo". Geralmente o seu uso é demandado em projetos que já existem a algum tempo, e um dev ou dois, talvez "emocionados", sugeriram o uso e por N motivos acabou por se aceitar e usar.
Isso cria outro tipo de problema: ferramentas novas não possuem um code-style/idiom bem definido, pois, como eu disse, geralmente não existe uma comunidade ativa para definir uma convenção. O que existe são vários snipets de código soltos e alguns projetos pequenos, cada um a sua maneira (sendo beeeeem simplório). É diferente de um projeto de uma linguagem/framework já antigo, por exemplo o Spring, que já tem essa característica intrísseca.
Agora, respondendo as suas perguntas
A tecnologia está ou estará robusta suficientemente para grandes aplicações? - Você citou o PHP, e eu tenho a mesma opinião, porém partindo de outra perspectiva. O PHP em sí é uma ferramenta fantástica para entregar código rápido, que permite muita liberdade, mas essa liberdade também é um problema. Existem diversos projetos problemáticos feitos em PHP, alguns que eu já vi e participei de melhorias, que ficaram dessa forma por conta dessa liberdade.
Mas indo ao ponto, depende. Não dá pra dizer sim ou não nessa resposta, primeiro pois eu nunca testei a fundo o Htmx, e segundo porque não tem uma comunidade madura o suficiente para dizer isso.
Quanto a segurança, seria mais fácil para uma página construída com esta tecnologia ser invadida? - Nesse ponto, eu entendo que a brecha de segurança é primariamente de responsabilidade de quem está codificando a aplicação usuária, e depois é baseada no software usado. Brechas de segurança são no seu cerne, nuances que causam um efeito extremamente destrutivo (ou não, dedpendendo do contexto). Tudo depende do contexto. Não dá pra dizer se sim ou se não sem um amplo estudo da ferramenta, muitos anos de uso, melhorias, versões, novas funcionalidades....
Dizer se uma ferramenta é boa ou não é uma questão que pode ser profunda demais, pois depende do que você espera dela. Se seu objetivo é de fato um projeto grande com muitos acessos, provavelmente existem mais pessoas envolvidas, e geralmente a escolha mais simples e funcional é o melhor caminho (eu mesmo escolheria React para esse tipo de projeto). Mas se você quer fazer um projeto pessoal, ou mesmo uma POC para um novo produto que pode ter esse potencial... por que não?