Bueno, a modo de ejemplo:

Desarrollé una red de negocios para un cliente donde los usuarios pueden ver/descargar documentos, aunque hay varios niveles de acceso:

1- Invitados
2- Usuarios registrados
3- Contactos de la empresa
4- Empleados

Cada empresa publica documentos y selecciona quien puede ver/descargar. Aún sabiendo que la ID es secuencial, si un invitado/bot/lo que sea intenta acceder a documentos de nivel 2 en adelante, obtendrá un mensaje de error.

Lo mismo si un usuario registrado intenta descargar documentos de una empresa que no forma parte de sus contactos o documentos exclusivos para empleados de otra empresa.

Entonces, el mayor riesgo de esto es ataque por fuerza bruta, pero este puede hacerse independientemente de que uses campos auto incrementables y debes adecuar sistemas de protección tanto en tu script como en el servidor (o nube).