Meint ihr, das taugt was oder kommt ein Bot schnell hinter das System und kann die Buchstaben und Zahlen auslesen?

Zu allem bereits gesagten möchte ich noch anführen, dass es für mich bei deinem Beispielcaptche nicht ersichtlich ist, ob der 4. Buchstabe eine 1 oder ein kleines L ist. Bei meinem selbst programmierten Captcha-System (das ich nur für eine Art Admin-Bereich nutze) wird daher der Zeichenvorrat entsprechend gekürzt. Ich streiche z.B: 5/S, 1/l/I, O/0 und B/8. Gerade wenn man verschiedene Schriftarten nimmt (aber auch sonst), halte ich das für sehr wichtig.

Das es schwachsinnig ist, die Lösung in einem hidden-Feld mitzugeben wurde ja schon gesagt. Wenn überhaupt, dann ein MD5-Hash der richtigen Lösung, wobei auch das nicht wirklich sicher ist. Am besten du speicherst eine Art ID in einem Cookie und speicherst den Rest auf dem Webserver an einem nicht-öffentlich zugänglichen Ort.