OAuthとAPIキーはどちらも鍵ですが性質が違います。OAuthは権限の範囲を絞れて後から取り消しやすく、APIキーは強力なぶん漏れたときの被害が大きく、放置で残りがちです。AI運用では、回収しやすいOAuthを基本に置くのが安全側の選択です。
キーを使わざるを得ないときは、用途ごとに分け、保管場所を限定し、定期的に入れ替える前提で扱います。鍵は作って終わりではなく、いつ無効にするかまで決めて初めて管理になります。今AIに渡している鍵が、どこにいくつあって誰が止められるか確認してみてください。