Si un atacante busca en su contenedor, diría que puede ver lo que hay dentro del archivo, ya que, según la documentación, el archivo está montado sin cifrar en el contenedor:
Cuando concede un acceso de servicio recién creado o en ejecución a un secreto,
el secreto descifrado se monta en el contenedor en una memoria
sistema de archivos. La ubicación del punto de montaje dentro del contenedor.
por defecto es / run / secrets / en contenedores de Linux, o
C: \ ProgramData \ Docker \ secrets en contenedores de Windows. Puede especificar un
ubicación personalizada en Docker 17.06 y superior.
También dice que:
Puede actualizar un servicio para otorgarle acceso a secretos adicionales o
revocar su acceso a un secreto dado en cualquier momento.
Tal vez podría revocar el acceso después de que su proceso haya cargado el secreto en la memoria para que el archivo ya no esté adjunto al contenedor.
Enlace a la documentación para 17.09 enlace