Der Bot muss das Captcha ja nicht von deinem Server einbinden; es sollte für ihn kein Problem darstellen, eine lokale Kopie davon anzulegen.

Ja.
Denkbar wäre zum Beispiel:
• Bot ruft deine Loginseite auf
• Bot lädt das Captcha herunter
• Bot bindet eine Kopie davon in eine andere Webseite ein und lässt das Captcha lösen
• Sobald das Captcha gelöst ist, versucht der Bot mit dem hoffentlich richtigen Ergebnis die Loginseite auszufüllen

Entgegenwirken kannst du dem, aber wirklich verhindern kannst du es nicht. Gegenmaßnahmen wären:
• Das Captcha einer Loginseite muss in einem bestimmten Zeitraum ausgefüllt werden. Es macht keinen Sinn 5 Stunden auf eine Lösung zu warten, die evtl. auf einer anderen schlecht besuchten Pornoseite erstellt wird.
• Schreibe deinen Domain-namen o.ä. als kleines Wasserzeichen mit aufs Captchabild drauf. Am besten so, dass ein "Bot" es nicht automatisch abschneiden oder übermalen kann.
• Versuche einem Client nur ein Captcha zuzuordnen und nicht zu erlauben dass 50 Captchas nacheinander abgeholt werden und später dann alle 50 Formulare abgeschickt werden.