Veja a especificação BSON Object ID aqui e você saberá se é seguro para você usar .

Se você tentar proteger de usuários que enviam URLs diferentes de scripts (fuskators), parece-me que a segurança é fraca. Não haverá muitas combinações de peças 'máquina', 'pid'. A parte 'tempo' pode ser calculada se o invasor puder ter uma ideia de como os dados foram inseridos (especialmente se estiver usando lote). 'inc' - muito fraco.

Não confiarei em ObjectIDs como a única segurança.

Observe que não pode haver uma resposta certa para a pergunta "é seguro" em geral. Você deve decidir sozinho.

PS. Mas lembre-se de que essa segurança baseada em URL se transformará em pó quando os usuários compartilharem os URLs que visitaram. Mesmo melhor, sua criptografia não ajudará.