Parece ser AES128 criptografado usando uma chave armazenada localmente. Você está exatamente certo de que é essencialmente apenas uma camada de obscuridade - conceitualmente, as únicas opções disponíveis em uma situação como essa são exigir que uma senha seja inserida no momento em que o serviço inicia como uma chave de descriptografia ou para armazenar a chave em algum lugar. localmente; um bom análogo são certificados SSL criptografados para um servidor da Web.
Os comentários no código da classe hudson.util.Secret deixam claro que eles entendem as limitações de segurança desse método:
Glorified String that uses encryption in the persisted form, to avoid accidental exposure of a secret. Note that since the cryptography relies on Hudson.getSecretKey(), this is not meant as a protection against code running in the same VM, nor against an attacker who has local file system access.