Видимо CATCHA генерируется каким-то хитрым образом на определённый промежуток времени. То ли это недочёт, то ли так и должно быть, я так и не понял. Фактически в определённый промежуток времени генерируется одно и то же число как в случае со мной. Единственное что пришло на ум - это для удобства пользователей которым "надоедает" постоянно набирать разные циферки. Другого объяснения я пока что не вижу.
В данном случае, каптча не генерится ни каким хитрым образом. Она генерится единовременно и навсегда на период сессии!!!??? а не на определённый промежуток времени. Если сессию зациклить, то стоит один раз законнектится и каптча по сути уже не нужна. Результат генерирования уже известен. И он не меняется. Достаточно результат разместить в бот как значение. Так НЕ ДОЛЖНО БЫТЬ!!! Это уязвимость. И серьёзная. Столько уже говорили об этом.
В-третьих, сейчас используется следующая схема: при создании формы каждый раз создается sid и создается код captcha для него. При нажатии F5 на странице с формой код поменяется Связка sid и captcha не имеет никакой закономерности. Каждая проверка captcha уничтожает проверяемую связку.
Странно... так спам-боту не обязательно наличие формы как таковой. Главное, прописать соответствующие параметры взятые из сессии с уже созданным sid и значением sessid и отравить их на обработку, в данном случае на ввод. Хотя Вам решать как лучше сделать...