Eu tenho algumas dúvidas com relação a API Criteria... No caso, ela seria uma alternativa mais segura contra o famigerado "HQL/SQL" injection? E no que tange a desempenho, ela permitiria que a consulta fosse otimizada de forma mais "profunda", já que são feitas verificações em tempo de compilação?

Opa

Para responder todas suas dúvidas, olha só essa comparação:

http://jmmwrite.wordpress.com/2009/08/20/hibernate-hql-x-criteria/