Cara, nos últimos anos todas as minhas frustrações na área de programação geralmente vem do mesmo lugar: Frontend. Eu utilizei muitos frameworks durante esses anos, e apesar de achar alguns infinitamente superior a outros, todos eles tem pontos semelhantes. Em geral, diria que a semântica de soluções no front muda muito pouco entre ele, apesar da sintaxe diferente. Por essa razão nunca achei um framework js que me trouxesse algum prazer em programar no mesmo (apesar do Svelte chega perto)

Gerenciar o estado no front é um inferno. E quando o Htmx saiu eu simplesmente percebi que era uma perda de tempo. Para meus projetos pessoais eu sempre utilizo Htmx para o estado principal e alpinejs para coisas como modalsl e drop-downs. Eu ainda tenho que fazer algumas métricas para definir se estou mais produtivo ou não. Mas com certeza estou mais feliz. Pois tudo ficou mais simples.

Sobre suas perguntas, a biblioteca é madura o suficiente para entrar em produção. E quanto a segurança: basta sanitizar o que o usuário manda se for renderizar na página. Porém isso é a prática recomendada mesmo em stack baseadas em json.

Eu vi alguns comentários preocupados com a adoção. A biblioteca apenas faz requests quando eventos acontecem em algum elemento. Mesmo que você não ache outros programadores que o conheçam. Eles não vão levar mais de 15 minutos para aprender o basico. Na minha opinião vale apena a tentativa.