Also kann man davon ausgehen, dass ein Grossteil der Bots kein Javascript interpretieren kann?

Davon würde ich nicht ausgehen - ich würde davon ausgehen, dass ein Großteil der Bots das sogar bewusst kann. Es kann natürlich aber völlig anders sein, nachdem es keine konkreten Zahlen gibt.

Ein Beispiel sind eingeschleuste Extensions im Browser des Benutzers (die als infizierte Zombies eines Botnets gesteuert werden) die das Surfverhalten des Benutzers überwachen und sich ansehen, wie der ein Formular ausfüllt und dieses verhalten dann imitiert - alles was der Browser und der Benutzer kann, kann der "Bot" quasi auch - nur das lösen eines Captchas muss dann noch irgendwie bewältigt werden.

Sind Captcha-Abfragen mittlerweile als Unsicher anzusehen? Mir fällt dabei als erstes reCAPTCHA ein oder einfach aus Sicht des Benutzerkomforts nicht Wünschenswert?

Sämtliche Turing-Tests sind für die heutigen Vverhältnisse unsinnig oder nicht mehr ausreichend - die Dinger wurden in den 50er-Jahren erfunden, das ist gut 60 Jahre her - mittlerweile ist es so, dass es Maschinen gibt die sich menschlicher verhalten, als Menschen - oder eher so, dass es Menschen gibt die sich verhalten wie Maschinen.

Natürlich nur in dem Kontext, dass sie z.B. ein Captcha nicht lösen können weil sie die Sprache nicht verstehen, nicht rechnen können, Blind sind, eine Rechtschreibschwäche haben, schneller tippen können als erwartet, ...