S３バケット内のオブジェクトに対して、セキュリティ観点からAWS側で変更を加えていないか

AWS側で何かしら設定していない限りは自動で設定が切り替わるといったことは無いと思います。
例えばAWS Configなどで自動修復アクションなどを設定していたりすると自動で外されるといったことは考えられます。
まずは誰が (どの設定が) S3のACL設定を変更しているのか特定する必要があります。
CloudTrailの証跡を有効化していればログが確認できますので、証跡のログからS3の設定などを変更しているようなユーザーや設定が無いか確認してみてください。
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html

パブリックアクセス（全員）の、読込み設定が外れる事象が多発

他の回答者様と同様の回答となりますが、恐らくConfigの自動修復機能が設定されているのではと思われます。 以下ブログで設定方法が記載されているので同じように設定されているConfigをオフにすれば良いかと思われます。

• S3バケットのパブリックアクセス有効の検知と自動修復
• 自動でS3バケットのパブリックアクセスを無効化する方法

確認の背景 S3バケットに画像を格納し、CloudFrontを利用してサイトに表示させている。現状バケット内のオブジェクト単位で、パブリックアクセス（全員）の、読込みを設定しないと表示できない仕様。

ご質問から少し逸れますが、この構成の場合、外部からS3の画像へ直接アクセスできる状況ではないでしょうか？

CloudFront → Origin Access Control (OAC)若しくはOAI → S3バケットという流れでアクセスするようにした方がセキュリティ的により良くなるかと思います。

• Amazon CloudFront オリジンアクセスコントロール（OAC）のご紹介