Können Spambots den token nicht auch aus dem Formular auslesen und ihn mitsenden?

Klar. Aber das setzt voraus, dass die Spammer den Aufwand treiben. Das sind aber Leute, denen (manchmal von sich selbst) versprochen wurde, „einfach und von zu Hause aus viel Geld zu verdienen“. Individuelle Anpassungen sind da aus (nennen wir sie euphemistisch) „ökonomischen“ Gründen einfach nicht drin.