Das müsste 1. Funktionieren, weil die Bots _glaube ich_ soweiso keine Sessions können, oder?

Ich frage mich, woher (allerdings gerade bei Suchmaschinenspammern, nein, -optimierer heißen die ja) die weit verbreitete Annahme kommt, die Gegenseite (Suchmaschine, Spammer) sei auf jeden Fall dümmer als man selbst.

Bitte verstehe das ausdrücklich nicht so, dass du dumm wärest, aber wenn du darauf kommst, dass ein Bot mit Cookies umgehen können müsste, dann wird es ein Botprogrammierer, der seine monatlichen €-Tausender wert ist, unter Garantie auch. Zumal die Implementierung von Cookie-Code um einiges leichter ist als einem Bot das Lesen beizubringen. Und letzteres können Spambots, deswegen ist diese ganze Bild-Captcha-Geschichte IMHO eine weitestgehend tote Kuh, da zuckt bestenfalls noch ein Öhrchen.

2. müsste es funktionieren, weils die Formularergebnisse ja oft durch fremde Seiten an das "Verarbeitungs-Skript" gesendet werden

Oft? Woher weißt du das? Irgendwo gehört oder hast du verlässliche Daten?

Davon abgesehen: Dass ein Formular mitsamt Spamdaten erst unter einer fremden URL aufgebaut wird, nur um dort mittels eines Browsers an das Zielskript abgeschickt zu werden, halte ich für höchst unwahrscheinlich, weil viel zu aufwendig.
Das Zusammenstellen eines Formulardatensatzes ist keine Hexerei, sowas kriegt jeder Bot von ganz alleine hin. Es kann höchstens sein, dass der Bot etwas zu sparsam ist und Daten schickt, ohne vorher das Formular abzurufen - dann hilft die Cookie-Methode in der Tat.

Fremde Seiten sind da aber nicht im Spiel. Da Einzige, was gemacht wird, ist das Durchleiten von Bild-Captchas an Pornoseiten zwecks humanoider Entschlüsselung. Aber auch da werden keine Daten von einer fremden Seite direkt an das betroffene Formular geschickt.