Lo siento si esta es una pregunta muy amateur.
Estaba revisando un artículo sobre la omisión de CAPTCHA. Y creo que este artículo me pareció interesante enlace
Ahora, 
este ataque redirige la solicitud del Servidor (que es el cliente del proveedor de CAPTCHA) a un servidor controlado por un atacante.
Si estoy usando una cURL (o algo) para publicar mi solicitud internamente, mi PC cliente no puede detectar esto, ¿verdad? Entonces, ¿es posible?
Esto solo se puede hacer si de alguna manera usted intercepta el tráfico del servidor al proveedor de CAPTCHA. Se puede hacer al comprometer el servidor, su red o el servidor DNS que está utilizando. Cada método requiere la invasión del servidor o de uno de los sistemas en los que se basa, no puede simplemente desviar el tráfico de un servidor de su PC a casa sin lograr algo así primero.
Lea otras preguntas en las etiquetas tls http man-in-the-middle captcha