Al margen de si puede hacerlo un bot o no (que la respuesta es sí), la pregunta realmente es como pretendes validar que la respuesta es correcta sin dejárselo al cliente.
Ahora mismo toda tu validación se puede bypasear ya sea leyendo la variable code o directamente asignando el valor de code al input:
document.getElementById("captchaTextBox").value = code;
Estas cosas se generan y validan serverside para que el cliente no tenga la posibilidad de trastear con ello.
Saludos
¡Joooooderrrrr!
Nunca oí a nadie con tanta razón.
El caso es que ese javascript está por todo Internet como si sirviera para algo, y ahora me doy cuenta que es sólo KK.

En fin… de los errores se aprende 100 veces más que de los aciertos.
Un saludo y muchas gracias a todos.