Discordo. Se as dependencias no package.json estiver bem escrito, o npm install não irá fazer alterações (significativas).
Costumo deixar minhas dependências apenas com tolerância aos patches, assim não há quebra de funcionalidade.
Porém há sim o risco de algum pacote na cadeia inserir uma breaking change em um patch, o que não é correto mas é possível.
Concordo com vc. Quantos projetos por aí o pessoal não se preocupa em setar atualizações apenas nas versões hotfix e minor. O projema são alguns projetos que sismam em quebrar/remover certas coisas mesmo em versões minor, as vezes quebrando o projeto. Nesse segundo caso, ia quebrar tanto pra um quanto pra outro.