Esto se debe a que los bots no utilizan el formulario de registro de la interfaz que incluye validadores. Esos bots de spam están enviando solicitudes POST automatizadas al endpoint de la API de registro. También creo que cuando los campos son opcionales, a veces la validación en el backend no es lo suficientemente estricta y aún así guarda el valor del payload en la base de datos.
No estoy seguro de cuál sea la solución principal, pero probablemente también necesites más configuración o herramientas contra el spam. (Yo uso un bot de spam con IA en mi foro público y funciona excelente, y también tengo campos opcionales en el registro.)
Puedes encontrar todos los usuarios de tu foro usando el Explorador de datos. Creo que esto funcionará, aunque no lo he probado (asumiendo que el campo personalizado es user_field_1):
SELECT user_id, value
FROM user_custom_fields
WHERE name = 'user_field_1'
AND value NOT IN ('Bro', 'Sis', '')
Si recientemente cambiaste el campo de una entrada de texto a un menú desplegable, esto también podría explicar algunas de esas cuentas de bots con valores incorrectos en el campo.