la idea es que el valor del captcha se envié junto a la data del formulario, no por separado, precisamente para verificar la veracidad de "humanidad" que envía el formulario, si envió primero el capctha por ajax y luego de confirmar envías el form, un hack robot simplemente enviaría el form y olvídate del captcha, es como pretender enviar primero el token CSRF, totalmente inútil.