Shopware MCP Server: Ihren Shop mit KI-Agenten verbinden

Was MCP wirklich ist (und was nicht)

Anthropic hat MCP Ende 2024 vorgestellt, um ein langweiliges, aber teures Problem zu lösen: Jedes Team, das ein LLM mit internen Systemen koppeln wollte, schrieb denselben Glue-Code in leicht unterschiedlicher Form. MCP standardisiert diesen Glue. Ein Server stellt Tools bereit (Funktionen, die das Modell aufrufen kann), Resources (lesende Daten, die das Modell in seinen Kontext aufnehmen kann) und Prompts (parametrisierte Startpunkte für Aufgaben). Ein Client, üblicherweise eine KI-Chat-App, erkennt das Angebot des Servers und entscheidet, wann er es nutzt.

Bis 2026 liefern Claude Desktop, ChatGPT, Cursor, Zed und die meisten produktiven KI-IDEs MCP-Support als Standardfunktion aus. Shopware war eine der ersten großen E-Commerce-Plattformen mit einem offiziellen Server, und die Community hat mehrere spezialisierte Server für Theme-Arbeit und Plugin-Debugging ergänzt.

Ein paar Dinge, die MCP nicht ist:

• Es ist keine Shopware-Erweiterung und kein Plugin. Der Server läuft außerhalb von Shopware und spricht über die Admin-API mit dem Shop.
• Es ist kein gehosteter Service, den Sie abonnieren müssen. Sie betreiben den Server selbst, lokal oder in Ihrer Infrastruktur.
• Es ist nicht autonom. Der Agent tut nur, was der KI-Client entscheidet, und der KI-Client tut nur, was der Nutzer oder seine konfigurierte Policy zulässt.

Das Setup

Voraussetzungen

• Ein Shopware 6 Shop, self-hosted oder PaaS. Admin-API-Zugriff ist erforderlich.
• Node.js 22 oder neuer auf der Maschine, die den MCP-Server ausführt. Der offizielle Server wird als npm-Paket veröffentlicht.
• Ein MCP-kompatibler KI-Client. Diese Anleitung verwendet Claude Desktop, aber Cursor und ChatGPT Desktop funktionieren identisch, sobald die Config-Datei steht.

Schritt 1: Admin-API-Integration in Shopware anlegen

In der Shopware Administration zu Einstellungen → System → Integrationen wechseln und eine neue Integration anlegen. Geben Sie ihr einen Namen, den Sie später im Audit-Log wiedererkennen, zum Beispiel mcp-claude-desktop.

Kopieren Sie Access Key ID und Secret Access Key. Das Secret wird nur einmal angezeigt. Speichern Sie es im Passwort-Manager, nicht in der MCP-Config-Datei.

Schritt 2: Paketname und Zugangsdaten notieren

Der offizielle Server ist auf npm als @shopware-ag/admin-mcp veröffentlicht. Sie installieren ihn nicht manuell. Ihr KI-Client startet ihn über npx mit drei gesetzten Umgebungsvariablen:

SHOPWARE_API_URL=https://shop.example.com
SHOPWARE_API_CLIENT_ID=SWIAxxxxxxxxxxxx
SHOPWARE_API_CLIENT_SECRET=yyyyyyyyyyyyyy

Der Server spricht MCP über stdio, ein direkter Aufruf im Terminal ist für sich allein also nicht sinnvoll. Der nächste Schritt verdrahtet ihn mit einem Client, der ihn startet und ansprechen kann.

Schritt 3: Server beim KI-Client registrieren

Jeder Client hat seine eigene Config-Datei, aber die Struktur ist identisch. Für Claude Desktop auf macOS editieren Sie ~/Library/Application Support/Claude/claude_desktop_config.json:

{
  "mcpServers": {
    "shopware-admin-mcp": {
      "command": "npx",
      "args": ["-y", "@shopware-ag/admin-mcp"],
      "env": {
        "SHOPWARE_API_URL": "https://shop.example.com",
        "SHOPWARE_API_CLIENT_ID": "${SHOPWARE_API_CLIENT_ID}",
        "SHOPWARE_API_CLIENT_SECRET": "${SHOPWARE_API_CLIENT_SECRET}"
      }
    }
  }
}

Die ${VAR}-Interpolation liest aus den OS-Umgebungsvariablen, das eigentliche Secret steht damit nie in der Config-Datei. Setzen Sie die Variablen in Ihrem Shell-Profil oder, besser, in einem Secrets-Manager, der sie an den Client-Prozess exportiert.

Den KI-Client neu starten. Im Integrations-Panel sollte eine neue Tool-Gruppe namens shopware erscheinen. Wenn nicht, schauen Sie ins Log des Clients. Falscher Pfad zu npx ist die häufigste Ursache unter Windows.

Schritt 4: Mit einem echten Prompt verifizieren

Öffnen Sie einen neuen Chat und stellen Sie eine kleine, lesende Frage:

Liste die fünf zuletzt angelegten Produkte im Shop,
mit ihrem Lagerbestand und Aktiv-Status.

Der Agent fragt einmal nach Erlaubnis, ein Shopware-Tool aufzurufen, Sie bestätigen, und die Antwort kommt als Tabelle zurück, basierend auf Ihren Live-Daten. Prüfen Sie das Shopware-Integrationsprotokoll unter Einstellungen → System → Integrationen → Aktivität, um zu bestätigen, dass der Aufruf unter der von Ihnen angelegten Integration lief, nicht unter einem vergessenen Admin-Account.

Sicherheits-Leitplanken, die zählen

Ein MCP-Server ist funktional ein langlebiger API-Client mit den Rechten dessen, der ihn ausgestellt hat. Behandeln Sie ihn so, wie Sie eine ERP-Integration behandeln würden. Die folgende Liste ist die Kurzform dessen, was ich bei jeder Installation konfiguriere.

ACL-Rolle auf den Workflow zuschneiden

Wenn der Agent nur Produkt- und Bestelldaten lesen soll, vergeben Sie nur diese Leserechte. Legen Sie eine separate Integration mit Schreibzugriff für die Workflows an, die ihn tatsächlich brauchen. Zwei Integrationen kosten nichts. Ein überprivilegierter Key kostet alles, sobald ein Prompt Injection das Modell überredet, eine Kategorie zu löschen.

Server vorerst lokal betreiben

Der offizielle Server spricht stdio, läuft also als Subprozess des KI-Clients auf Ihrer Maschine. Das ist die sicherste Variante heute. HTTP-Transport-MCP-Server gibt es, und sie haben ihren Platz, aber einen davon im öffentlichen Internet zu exponieren öffnet eine Angriffsfläche, die sich für einen Einzelnutzer-Workflow eines Merchants nicht lohnt.

Achtung bei Prompt Injection aus Produktdaten

Produktbeschreibungen, Kundennachrichten und CMS-Inhalte sind nutzergenerierter Content. Ein Angreifer kann Anweisungen in eine Produktbeschreibung schreiben, die ein LLM beim Lesen als Befehle interpretieren könnte. Behandeln Sie jeden Inhalt, den das Modell aus dem Shop liest, als nicht vertrauenswürdig, und vergeben Sie Schreib-Tools nicht ohne menschliche Bestätigung, wenn der Kontext nutzergenerierten Content enthalten kann.

Alles loggen, wöchentlich prüfen

Shopware protokolliert jeden Admin-API-Aufruf unter dem Namen der Integration. Überfliegen Sie das Log einmal pro Woche. Achten Sie auf Tool-Aufrufe, die Sie überraschen, ungewöhnliche Payload-Größen und Zugriffe außerhalb der Geschäftszeiten. Sie müssen nicht jede Zeile lesen, Sie sollen ein Gefühl dafür bekommen, wie „normal" aussieht.

Echte Merchant-Workflows

Das sind die Muster, die sich nach meiner Erfahrung innerhalb eines Monats amortisieren. Sie sind absichtlich unspektakulär. Der Wert liegt nicht darin, dass die KI Magie tut, sondern darin, dass der Abstand zwischen einer Frage und einer Antwort von zwanzig Minuten auf zwanzig Sekunden schrumpft.

Szenario 1: Tägliche Bestands-Triage

Szenario 2: SEO-Copy in zwei Sprachen, in Bulk

Szenario 3: Bestell-Recherche

Szenario 4: Sales-Channel-Check vor einer Kampagne

Wann sich ein eigener MCP-Server lohnt

Der offizielle Server deckt Produkte, Kategorien, Bestellungen, Sales Channels und Medien ab. Das reicht für die meisten Merchants. Ein eigener Server lohnt sich, wenn:

• Der Agent Endpoints Ihres eigenen Plugins aufrufen soll, nicht die Core-Admin-API.
• Sie ein High-Level-Tool bauen wollen, das drei oder vier Admin-API-Aufrufe zu einer Operation zusammenfasst, mit Validierung dazwischen.
• Sie lesenden Zugriff auf Systeme freigeben wollen, an die die Admin-API nicht heranreicht: Ihr ERP, Ihr Lager, Ihre Analytics.

Das MCP-SDK gibt es für TypeScript, Python und Go. Ein minimaler TypeScript-Server, der ein eigenes Tool get_top_customers ergänzt, sieht so aus:

import { McpServer } from "@modelcontextprotocol/sdk/server/mcp.js";
import { StdioServerTransport } from "@modelcontextprotocol/sdk/server/stdio.js";
import { z } from "zod";

const server = new McpServer({ name: "shop-custom", version: "0.1.0" });

server.registerTool(
  "get_top_customers",
  {
    title: "Top-Kunden nach Lifetime-Umsatz",
    description: "Liefert die Top-N-Kunden nach Gesamt-Bestellwert in einem Zeitraum.",
    inputSchema: z.object({
      limit: z.number().min(1).max(100).default(10),
      since: z.string().describe("ISO-8601-Datum, inklusiv"),
    }),
  },
  async ({ limit, since }) => {
    const rows = await fetchTopCustomers(limit, since); // Ihr Admin-API-Call
    return { content: [{ type: "text", text: JSON.stringify(rows, null, 2) }] };
  }
);

async function main() {
  await server.connect(new StdioServerTransport());
}

main();

Zwei Dutzend Zeilen, und Sie haben ein Tool, das der Agent aufrufen kann. Registrieren Sie das Binary im selben mcpServers-Config und es erscheint neben dem offiziellen Server. Die meiste Arbeit steckt, wie immer, in den langweiligen Teilen: Pagination, Error-Mapping und Input-Schemas zu schreiben, die das Modell versteht, ohne erst jede falsche Kombination durchzuprobieren.

Wo es heute noch hakt

Wer Ihnen sagt, MCP plus Shopware sei 2026 gleichbedeutend mit autonomem Commerce, verkauft Ihnen etwas. Die ehrlichen Grenzen, die mir in echten Projekten begegnen:

• Token-Budgets zählen. Ein Prompt wie „Exportiere alle 12.000 Bestellungen aus Q1" ist nicht kostenlos. Der Agent paginiert sinnvoll, aber Sie bezahlen für jede Seite in Tokens und Zeit. Bulk-Exporte gehören weiterhin in ein Worker-Script.
• Das Modell halluziniert manchmal noch Schemas. Custom-Felder mit nicht offensichtlichen Namen verwirren es. Gute Namensgebung und gute Tool-Beschreibungen reduzieren das, eliminieren es aber nicht.
• Schreiboperationen brauchen Bestätigung. Immer. Auch bei der besten Policy: Lassen Sie einen Agenten Schreiboperationen nie still ausführen. Die Reibung des „Ja, mach das" ist ein Feature, kein Mangel.
• Storefront-API-Support ist uneinheitlich. Der offizielle Server deckt die Admin-API gut ab. Storefront-Automation (Warenkorb, Checkout) ist besser in dediziertem Code aufgehoben als in einem LLM in der Schleife.