В какой-то мере это исправит ситуацию, но не на 100%.
Дело в том, что любая защита, основанная на незнании алгоритма ее работы, считается изначально ненадежной. Если спамер разберется, по какому алгоритму производилось получение конечного, он сможет обойти и такую капчу.
Стоит и рисковать всем этим, если можно попросту хранить ключи в переменных сессии?