La configuración de temas está disponible para la aplicación cliente JS, así que eso significa que cualquier visitante de tu sitio podría revisar el código fuente para verlas. Casi con seguridad no querrás poner una clave API allí.
La excepción serían las claves API que están diseñadas para uso en el lado del cliente, y por lo tanto no son un problema si alguien obtiene acceso a ellas (por ejemplo, Giphy, incrustaciones de Google Maps, etc.)