Google APIを使ってツールを作成しました。Webアプリのようなものではなく、ローカルで動くPythonスクリプトで、REST APIにアクセスしています。
これの公開を考えていますが、現状、client_id, client_secretが丸見えです。

そこで、質問です。
1. OAuth2のclient_secretが漏れると、誰(例:API公開者であるGoogle, APIを使ったアプリの開発者である私, アプリの利用者, それ以外の第三者)にとって、どのようなリスクがありますか?
2. もしclient_secretを漏らすべきでないとすれば、どのようにして隠すのがセオリーでしょう?